这个病毒在我单位局域网肆虐有几个月了，求瑞星解决一下！ bbs.ikaka.com

时间沙漠 - 2011-1-29 10:13:00

一个很普通的伪装文件夹病毒，本身可能没有破坏性，会寻找新插入的优盘，并把自己复制到优盘上，伪装为优盘内原来的文件夹，并将原来的文件夹隐藏以获得运行的机会。
问题是就这么个普通的病毒，我单位很多机器都感染，使用最新版瑞星也对它视而不见！可用的其他杀毒软件，就可以立刻扫描到它！
我没精力给单位的机器换装其他杀毒软件，只求瑞星能快点升级病毒库……！都几个月了，就是不见解决啊！
这是我昨天将该病毒样本上报到瑞星的检测结果：
RS20110128222617203213

安全文件！！

瑞星的工程师应该可以根据查询编码找到病毒样本，检查下是否真的安全。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

瑞星工程师19 - 2011-1-29 10:53:00

请多提几个样本并跟帖发上来分析下。

StreetMilk - 2011-1-29 10:57:00

你好。可能该病毒，使用最新的免_杀技术，并且伪造数字签名。
根据你提供的MD5值，在瑞星的文件诊所查不到任何信息。

建议是下载瑞星卡卡版的MD5值计算器，具体下载看附件。通过计算得出的MD5值（不是Recycle.rar是Recycle.exe，要直接计算该可执行文件的MD5）
然后到http://file.ikaka.com/main/index.shtml输入你得到的MD5值。看看是否属于病毒。
可能工程师现在已经受理该问题了，请耐心等待。

锦瑟微醺 - 2011-1-29 12:42:00

建议楼主将文件上传至瑞星文件上报中心，以便工程师进行分析 http://mailcenter.rising.com.cn/FileCheck/

天月来了 - 2011-1-29 14:44:00

那个可能是每运行一次就变一次md5值的文件夹病毒，所以不方便靠md5值找它

建议楼主多找几个模仿文件夹的这病毒，压缩打包后发来看

主要是这个类型的毒变种很多，免杀做的也勤快

汗

时间沙漠 - 2011-1-29 17:50:00

根据各位的要求，我提取了几个样本。使用WinMD5检测其MD5值，发现MD5相同，看来病毒没有变形能力。
提取的分别是优盘根目录下的7777.exe和Recycle.exe，以及c:\windows\system32\CB05E3\CB05E3.EXE

e9c3f1a6baa2257f17976a151236f613 7777.EXE
e9c3f1a6baa2257f17976a151236f613 CB05E3.EXE
e9c3f1a6baa2257f17976a151236f613 Recycle.exe

我的瑞星全功能版，对这三个文件视而不见。。。
我在虚拟机里一运行，就立刻占据了我的开始菜单。。。很烦人呢。。。

附这三个文件的压缩包：

附件: virus.rar (2011-1-29 17:49:55, 1321.16 K)
该附件被下载次数 200

天月来了 - 2011-1-29 18:09:00

文件看了，MD5值全部一样，就是很勤快的针对瑞星做免杀处理的文件夹病毒

还不算难处理

下载附件，到所有电脑上去扫描清理即可

所有移动存储设备都得插入电脑，再开启程序扫描清理

附件: AntiFldVir.rar (2011-1-29 18:09:12, 17.79 K)
该附件被下载次数 213

时间沙漠 - 2011-1-29 19:03:00

感谢版主回帖。
单独找到他们并删除，现在对我来说并不麻烦。麻烦的是单位还好多台机器有类似的问题，唯一寄望于单位安装的瑞星能统一识别查杀他们。希望瑞星下次升级时能把这个病毒加入病毒库。。。。

天月来了 - 2011-1-29 19:40:00

瑞星应该几天内就能加库的。

Koy_Song - 2011-1-29 20:19:00

LZ如果杀软无法识别 ... 试试手工清除.. 估计过几天升级病毒库就可以查杀这个病毒了..
1.首先删除recycle.exe病毒。在安全模式下，打开注册表，打开路径 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run，删除掉可疑的键名（都是数字加字母的组合），并在磁盘中删除这两个文件（用everything很快就找的到），删除即可。
2.删除autorun.inf文件。同样打开注册表，将路径下的HKEY_CLASSES_ROOT\Directory\shell下的全部键名删除即可。
3.将残留在u盘中的病毒文件recycle.exe 和autorun.inf删除。

万事达 - 2011-1-30 14:30:00

6楼的样本已收集分析，如有结果会尽快给您回复。

时间沙漠 - 2011-1-30 16:50:00

引用:

原帖由 万事达 于 2011-1-30 14:30:00 发表
6楼的样本已收集分析，如有结果会尽快给您回复。

好的。等待加入病毒库。。。虽然是个很简单的病毒，我自己也可以查杀。但机器数量一多就很麻烦的。

而且很奇怪啊，这个病毒只针对瑞星做免杀，其他杀软都很轻易检获，难道……是竞争对手在搞么？某些小人，专门用这样的手段不停抹黑瑞星？？从病毒的破坏性上来看，该病毒没有太大的破坏能力，而且也不对别的杀毒软件做免杀。。。意欲为何？

天月来了 - 2011-1-31 8:32:00

你这次应该是丢死人了吧？？？

那么简单的纯文件夹病毒，你还说不是病毒？？？那是什么呢？？

用什么来定义那种图标模仿文件夹外型的.exe文件呢？？

你意思是没恶意行为，就不算病毒了？？

要知道这玩意可是会导致求助者的所有移动存储设备的根目录下的文件夹全部隐藏，并创建同名的，图标为文件夹外型的.exe文件引诱使用者点击运行病毒在其他电脑继续复制自身的。

这个如果带入下载代码，就可以广为传播木马的。

你这次不是万事达了，你是负事达:kaka9:

天月来了 - 2011-1-31 8:54:00

这病毒我曾经一直观察了两年吧，这玩意针对瑞星的免杀是超勤快的

不知道做毒的人嘛回事

又或者瑞星加库的方式有问题吧:kaka6:

万事达 - 2011-1-31 9:39:00

请升级瑞星至最新版本。

时间沙漠 - 2011-2-8 11:22:00

……各位版主，如果还在的话，麻烦回来再看一下。

经过我一段时间观察，我单位内网上流传的文件夹病毒大概不少于两个版本。前一个上报后经过瑞星升级，已经可以查杀。但部分机器上还感染着另一种版本的文件夹病毒，甚为讨厌。

附件样本

附件: vir.rar (2011-2-8 11:21:57, 1324.13 K)
该附件被下载次数 161

MD5值为E9C3F1A6BAA2257F17976A151236F613

同时我也将该文件上报瑞星了，查询编码：RS20110208110543000939

天月来了 - 2011-2-8 12:09:00

你在16楼传的样本和前面传的完全一样的病毒

瑞星已可隔离

时间沙漠 - 2011-2-8 16:17:00

哦。是我搞错了。呵呵。不好意思。

瑞星卡卡安全论坛