1   1  /  1  页   跳转

U盘病毒

收藏
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-05-12 18:22 | 只看楼主 短消息 资料
字号: 1楼

U盘病毒

U盘病毒~

VirScan:http://www.virscan.org/report/e4 ... 79f97da6b2a3a0.html
MD5:CA8750E643C25C104CD2C6BA4CA4E900

1.提升限权


引用:
Access: Using dangerous system privileges
Object: AdjustTokenPrivileges(SeDebugPrivilege)



2.释放驱动并安装,加载后删除
%WinDir%\system32\drivers\klif.sys
HKLM\System\CurrentControlSet\Services\KAVsys

3.释放文件
%WinDir%\system32\uret463.exe(MD5:CA8750E643C25C104CD2C6BA4CA4E900)
%WinDir%\system32\hgjyit0.dll

4.创建启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"dorfgwe"="C:\\WINDOWS\\system32\\uret463.exe"

CA/Tiny还监控到这些动作:

引用:

Access: Forced process/thread termination
Object: PostMessageA(Message=WM_CLOSE,Handle=0x0)

Access: Injecting code into other processes
Object: VirtualAllocEx

Access: Injecting code into other processes
Object: WriteProcessMemory

Access: Injecting code into other processes
Object: CreateRemoteThread


知道的麻烦告知下

用户系统信息:Opera/9.64 (Windows NT 5.1; U; zh-cn) Presto/2.1.1

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 
zg1_2004
头像
禁止访问
  • 帖子:6782
  • 注册: 2004-01-22
  • 来自:
发表于: 2009-05-12 18:29 | 短消息 资料
字号: 2楼

回复:U盘病毒

该用户帖子内容已被屏蔽
gototop
 
★蓝色羽毛★
头像
版主
  • 帖子:4322
  • 注册: 2004-02-22
  • 来自:
论坛8周年活动礼物幸运草论坛9周年纪念09欢乐圣诞10温馨圣诞
发表于: 2009-05-14 13:03 | 短消息 资料
字号: 3楼

回复:U盘病毒

又是一个不是病毒。。。。
堕入黑暗里的可怜影子啊!诋毁伤害他人!
充满罪恶的灵魂!想死一次吗?
gototop
 
RisingCSC
头像
在线技术支持工程师
  • 帖子:4368
  • 注册: 2008-02-26
  • 来自:
发表于: 2009-05-18 10:12 | 短消息 资料
字号: 4楼

回复:U盘病毒

瑞星最新版本病毒库:21.29.62已可查杀。
站内导航:
新人报道  |  反病毒/反流氓软件  |  RAV/RIS求助  |  RFW求助  |  卡卡助手求助
热点推荐:
RIS2009有奖征文  |  春节活动汇总
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT