瑞星卡卡安全论坛
baohe - 2010-8-23 22:07:00
这是个“条件感染性病毒”。
样本来自:
http://bbs.janmeng.com/thread-943867-1-1.html。这DD挺有个性——————不采取点儿特殊手段,即使下载了那个recycle.{645FF040-5081-101B-9F08-00AA002F954E},你还是看不见此毒的真身!下图中那个快播Logo的病毒文件是俺用了点儿手段后才使它现身的:kaka6:
啥叫“条件感染性病毒”?故名思义,就是在一定条件下才感染文件。如果找到它的软肋,在NTFS格式的系统中,弄死它还是不算太难。先看看被我弄死的病毒尸体:
中此毒后,不要运行任何可执行程序。否则,你运行那个.exe,它就感染那个.exe。
中毒后的第一步:用权限封死所有病毒文件(病毒文件及其路径见上图)。
然后重启系统。
重启系统后,走刚才的逆过程————给病毒程序添加权限,然后删除病毒文件及其添加的加载项和IFEO劫持项。
搞掂。
第一次在True Image下玩儿它,运行病毒后,就着急用工具侦察、宰杀。结果————工具一个个都被它感染了。只好重启,脱离True Image。再进True Image,重新玩儿。
有了第一次的经验,第二次,干净利索地把它灭了:kaka12:
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61
yalicuan - 2010-8-24 0:01:00
额,去看看
jks_风 - 2010-8-24 13:38:00
刀光剑影的 还没看清病毒就被XXOO了 :kaka6: 猫叔如何用权限封死那个病毒?
还有这个条件感染性病毒的触发条件是什么?是特定的系统还是啥?
baohe - 2010-8-24 14:21:00
baohe - 2010-8-24 14:27:00
原帖由 jks_风 于 2010-8-24 13:38:00 发表
还有这个条件感染性病毒的触发条件是什么?是特定的系统还是啥?
病毒进入系统时,如果未遇到任何抵抗,则释放的病毒文件就是本帖图2提到的那些。按本帖方法处理、重启后,无其它文件被此毒感染。
如果遇到抵抗,则在%windows%\Temp目录下反复释放N多病毒程序(.exe和.dll),在系统跟目录下释放xxxxx.exe(x代表随机数字)。此xxxxx.exe出现后,用户运行哪个.exe,此毒即刻感染之(包括用户查找文件时使用的explorer.exe)。另:此时病毒还会针对非系统分区用户的.rar文件下手:解包、在rar包中植入病毒程序“绿化.bat”、再打包。
夲號ヱ被ジ盜 - 2010-8-24 16:01:00
在回收站里边:kaka6:
捣鼓N分钟,终于现身
这就是抵抗的结果吗?猫叔:kaka4:
baohe - 2010-8-26 17:24:00
原帖由 夲號ヱ被ジ盜 于 2010-8-24 16:01:00 发表
在回收站里边:kaka6:
捣鼓N分钟,终于现身
这就是抵抗的结果吗?猫叔
:kaka4:
[attachimg]635152[/a......
你的第二张图显示的是用CAHIPS 阻止此毒运行的效果。这与徒手使用系统权限消灭此毒不是一回事。
幸福没有终点站 - 2010-8-27 10:10:00
请问高手这个文件可以删吗?怎么删?
baohe - 2010-8-27 16:39:00
原帖由 幸福没有终点站 于 2010-8-27 10:10:00 发表
请问高手这个文件可以删吗?怎么删?
你说的是哪个文件?
recycle.{645FF040-5081-101B-9F08-00AA002F954E}是中毒后病毒搞的“假回收站”,其内有隐藏的病毒程序Uninstall.exe。
这个recycle.{645FF040-5081-101B-9F08-00AA002F954E}必须删除。
天月来了 - 2010-8-27 17:35:00
解压工具WinRAR打开那假冒得回收站,即可任意操作查看文件等。
闪电风暴 - 2010-8-28 11:38:00
看来把安全工具刻录在光盘上运行还是很有必要的~
过客2007 - 2010-8-29 22:31:00
今天这个病毒样本在我面前,我没提取~~:kaka7:
罪人偷采白莲回 - 2010-8-31 20:15:00
IFEO劫持项还是那些:kaka6:
rubbish88 - 2010-9-6 19:31:00
:kaka6: 怎么第一张图片 我就是弄不出来呢??
怎么让它现身的??recycle.{645FF040-5081-101B-9F08-00AA002F954E} 是不是要下载这个 东东
天月来了 - 2010-9-6 19:54:00
用解压工具WinRAR去打开折腾呗
苦命僧 - 2010-9-9 12:18:00
首先谢谢分享解决方法,其次问一下,如果中了此毒的现象是啥?桌面产生个标命名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的回收站图标 ????
111555888999 - 2010-9-12 20:34:00
快播是不是老容易下载有毒的文件啊,我以前有几个系统就被他弄坏了
艾玛 - 2010-9-14 16:20:00
好久顶起来
亮剑可爱 - 2010-9-14 17:52:00
不错啊 好好用虚拟机试验一下吧
duo9843 - 2010-9-17 19:07:00
在rar中添加“绿化.bat”???这手段咋那么象“中华吸血鬼”呢???:kaka6:
何旭鑫,何旭鑫! - 2010-10-7 18:00:00
没明白。在你前面???
潇湘竹 - 2010-10-10 0:03:00
不能用瑞星直接查杀吗?那还用瑞星来干什么?都如此贴,都成了电脑专家了!
baohe - 2010-10-10 15:49:00
原帖由 潇湘竹 于 2010-10-10 0:03:00 发表
不能用瑞星直接查杀吗?那还用瑞星来干什么?都如此贴,都成了电脑专家了!
医院不就是管治病的吗?
每个病人进了医院都必须活着出来?
否则,就像你这样质问:医院连治都不好病,要这医院干什么?!!
这是什么思维逻辑啊?:kaka6:
lhy441 - 2010-10-22 11:47:00
比如 我 安装 了 某个 游戏 瑞星 就提示 Uninstall 有毒 ,貌似 是 卸载 程序 ,
这个 不会 也是 上述 病毒 吧?
yaholo - 2010-10-22 13:57:00
该用户帖子内容已被屏蔽
xjscwl - 2010-11-22 16:32:00
已经中招,系统无法启动,也无法重做系统;该怎么办啊!!!!急死人啊!!!
天月来了 - 2010-11-22 16:34:00
系统无法启动,也无法重做系统???
你什么情况导致无法重做系统呢???
baohe - 2010-11-22 16:36:00
原帖由 xjscwl 于 2010-11-22 16:32:00 发表
已经中招,系统无法启动,也无法重做系统;该怎么办啊!!!!急死人啊!!!
用WINPE U 盘引导,在PE下搞。
xjscwl - 2010-11-22 18:01:00
Linux 引导杀毒盘下只有一个文件,看不到其他盘符无法查杀;系统已经崩溃,还无法重做系统;该怎么办,请大侠支招!在线等。急!!!
xjscwl - 2010-11-22 18:05:00
PE下,所有程序文件都无法运行!
© 2000 - 2024 Rising Corp. Ltd.
