tel.xls.exe 新变种.破坏系统文件mmc.exe

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 tel.xls.exe 新变种.破坏系统文件mmc.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-11-29 05:50 \| 只看楼主短消息资料字号：小中大 1楼 tel.xls.exe 新变种.破坏系统文件mmc.exe 这个病毒前段时间刚写过.. http://forum.ikaka.com/topic.asp?board=28&artid=8202647 结果变种不断出...汗..U盘还真可怜.. 这个变种更可爱了..替换掉系统文件.. 瑞星报 Worm.Suser.a 蠕虫..报得太离谱了.. 运行样本后.. 释放文件 C:\WINDOWS\BACKINF.TAB C:\WINDOWS\Session.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\FileKan.exe C:\WINDOWS\system32\SocksA.exe C:\WINDOWS\ufdata2000.log %Temp%下释放两个随机名的临时文件(.tmp) 替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节) 释放每个盘符下 AUTORUN.INF tel.xls.exe 注册表添加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00} 添加服务 [Smart Card Supervisor / mmc] <C:\WINDOWS\system32\mmc.exe><N/A>/ 删除隐藏文件键值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 访问本地 127.0.0.1 清除方法: 1.Ctrl + Alt + Del 打开任务管理器结束应用程序 kill 结束进程 mmc.exe 2.删除添加的注册表以及服务 http://www.kztechs.com/sreng/sreng2.zip 下载 SREng 解压运行-启动项目-注册表-删除 <ASocksrv><SocksA.exe> [1] 启动项目-服务-WIN32 应用程序找到 [Smart Card Supervisor / mmc] <C:\WINDOWS\system32\mmc.exe><N/A> 删除... 3.利用压缩工具 WINRAR 删除文件 C:\WINDOWS\BACKINF.TAB C:\WINDOWS\Session.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\FileKan.exe C:\WINDOWS\system32\SocksA.exe C:\WINDOWS\ufdata2000.log C:\WINDOWS\system32\mmc.exe 还有每个盘符下的 AUTORUN.INF tel.xls.exe 3.恢复显示隐藏文件功能 http://mopery.hits.io/yincang.zip 下载解压双击不能显示隐藏文件.reg 导入即可.. 4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机.. 好友的博客中有更为具体的分析 http://hi.baidu.com/hzqedison/blog/item/531e918f972d56fa513d92bb.html 附件: 文件名:6323982006112954742.jpg 下载次数:388 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-29 5:50:28 描述: 2006-12-01 02:34:45
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-11-29 07:52 \| 短消息资料字号：小中大 2楼学习！
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

aikakaka 拙长孩提狮帖子:147 注册: 2006-02-15 来自:	发表于： 2006-11-29 08:35 \| 短消息资料字号：小中大 3楼已阅，写的真及时！好好学习学习，谢谢啦！要注意休息哦……
aikakaka 拙长孩提狮帖子:147 注册: 2006-02-15 来自:

高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:	发表于： 2006-11-29 08:52 \| 短消息资料字号：小中大 4楼学习
高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:

可爱滴小白初生襁褓狮帖子:43 注册: 2006-11-28 来自:	发表于： 2006-11-29 09:23 \| 短消息资料字号：小中大 5楼学习~``
可爱滴小白初生襁褓狮帖子:43 注册: 2006-11-28 来自:

雨中漫舞初生襁褓狮帖子:18 注册: 2006-11-29 来自:	发表于： 2006-11-29 09:33 \| 短消息资料字号：小中大 6楼请问Windows\Temp\71139.exe和Windows\system32\scanft.dll这两个是病毒吗？用瑞星查不出来，但是我用木马专家就查出来了，其中第一个删除不掉，第二删除后又会自动出现，我该怎么办？
雨中漫舞初生襁褓狮帖子:18 注册: 2006-11-29 来自:

叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town	发表于： 2006-11-29 10:01 \| 短消息资料字号：小中大 7楼是觉得怪,正常微软的文件后面怎么没有Microsoft Corporation,开始还以为是我把路径记错了,后来到system32下看了下,这个路径没错,至于是替换,还没想到(很保守的说了句:这个文件不用删除). 到服务又看了下有个"Smart Card"的服务,但是可执行文件路径又不对,比这个 [Windows User Mode Driver Framework / UMWdf] <C:\WINDOWS\system32\wdfmgr.exe><Microsoft Corporation> 还不会忽悠人.
叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town

NSEaman 在线工程师帖子:91 注册: 2006-11-20 来自:	发表于： 2006-11-29 11:46 \| 短消息资料字号：小中大 8楼 1
NSEaman 在线工程师帖子:91 注册: 2006-11-20 来自:

特邀体验者

帖子:2592
注册: 2006-07-24
来自:

发表于： 2006-11-29 12:14 | 短消息资料

字号：小中大 9楼

引用:

释放文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log

汗。。怎么偶的沙箱都没。。晕了晕了，我的正常文件mmc.exe变成隐藏属性了，但是MD5值却没改动。。。诡异啊

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-11-29 12:43 \| 短消息资料字号：小中大 10楼学习
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-11-29 05:50 \| 只看楼主短消息资料字号：小中大 1楼 tel.xls.exe 新变种.破坏系统文件mmc.exe 这个病毒前段时间刚写过.. http://forum.ikaka.com/topic.asp?board=28&artid=8202647 结果变种不断出...汗..U盘还真可怜.. 这个变种更可爱了..替换掉系统文件.. 瑞星报 Worm.Suser.a 蠕虫..报得太离谱了.. 运行样本后.. 释放文件 C:\WINDOWS\BACKINF.TAB C:\WINDOWS\Session.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\FileKan.exe C:\WINDOWS\system32\SocksA.exe C:\WINDOWS\ufdata2000.log %Temp%下释放两个随机名的临时文件(.tmp) 替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节) 释放每个盘符下 AUTORUN.INF tel.xls.exe 注册表添加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00} 添加服务 [Smart Card Supervisor / mmc] <C:\WINDOWS\system32\mmc.exe><N/A>/ 删除隐藏文件键值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 访问本地 127.0.0.1 清除方法: 1.Ctrl + Alt + Del 打开任务管理器结束应用程序 kill 结束进程 mmc.exe 2.删除添加的注册表以及服务 http://www.kztechs.com/sreng/sreng2.zip 下载 SREng 解压运行-启动项目-注册表-删除 <ASocksrv><SocksA.exe> [1] 启动项目-服务-WIN32 应用程序找到 [Smart Card Supervisor / mmc] <C:\WINDOWS\system32\mmc.exe><N/A> 删除... 3.利用压缩工具 WINRAR 删除文件 C:\WINDOWS\BACKINF.TAB C:\WINDOWS\Session.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\FileKan.exe C:\WINDOWS\system32\SocksA.exe C:\WINDOWS\ufdata2000.log C:\WINDOWS\system32\mmc.exe 还有每个盘符下的 AUTORUN.INF tel.xls.exe 3.恢复显示隐藏文件功能 http://mopery.hits.io/yincang.zip 下载解压双击不能显示隐藏文件.reg 导入即可.. 4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机.. 好友的博客中有更为具体的分析 http://hi.baidu.com/hzqedison/blog/item/531e918f972d56fa513d92bb.html 附件: 文件名:6323982006112954742.jpg 下载次数:388 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-29 5:50:28 描述: 2006-12-01 02:34:45
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 tel.xls.exe 新变种.破坏系统文件mmc.exe

tel.xls.exe 新变种.破坏系统文件mmc.exe

tel.xls.exe 新变种.破坏系统文件mmc.exe

附件:

文件名:6323982006112954742.jpg 下载次数:388 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(329718); 上传时间:2006-11-29 5:50:28 描述:

文件名:6323982006112954742.jpg

下载次数:388

文件类型:image/pjpeg

文件大小:

上传时间:2006-11-29 5:50:28

描述: