查看: 11587|回复: 37
收起左侧

[讨论] 竟然这么快就遇到“.INK”病毒了

  [复制链接]
wjcharles
发表于 2010-7-23 22:57:00 | 显示全部楼层 |阅读模式
本帖最后由 wjcharles 于 2010.7.23 22:59 编辑

优盘去学校实验室电脑插了一下,回来发现中奖了,没想到传说中的0day漏洞竟然这么快影响到我了。。。大家要小心啊
MSE日志:
Microsoft Antimalware has detected spyware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:Win32/CplLnk.B&threatid=2147636391

Name: Exploit:Win32/CplLnk.B

ID: 2147636391

Severity: Severe

Category: Exploit

Path: file:M:\__e__.lnk;file:M:\__f__.lnk;file:M:\__g__.lnk;file:M:\__h__.lnk;file:M:\__i__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{31942C15-FCD7-4F3D-B7E7-5BC52DD1C9E0}-__h__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{98A81616-F2C5-42D4-ABE1-BAE41AF739B0}-__f__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{9A4B4792-33A8-4986-9A93-5D2CD44DA9A6}-__i__.lnk;filelocalcopy:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{CF1A460F-219A-4AC5-AA8E-8AD944E8BC6B}-__g__.lnk;filelocalcopy:\\?\C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{C20F9126-DA2A-4875-A459-9621A3EDA72D}-__e__.lnk

Detection Origin: Local machine

Detection Type: Concrete

Detection Source: Real-Time Protection

Status: Suspended

User: LH-2UYY8QJXV2NM\Administrator

Process Name: C:\Windows\explorer.exe

Signature Version: AV: 1.87.421.0, AS: 1.87.421.0

Engine Version: 1.1.6004.0



NIS的日志:
2010/7/23 22:36,高,检测到 autorun.inf (W32.Downadup!autorun) (检测方: Auto-Protect),已隔离,已解决 - 不采取操作

微软的病毒百科:
注意病毒还是新版的。。。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fCplLnk.B&threatid=2147636391


Exploit:Win32/CplLnk.B (?)

Encyclopedia entry
Updated: Jul 20, 2010  |  Published: Jul 20, 2010

Aliases

  • CVE-2010-2568 (other)

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection initially created:
Definition: 1.87.193.0
Released: Jul 20, 2010




On this pageSummary|Symptoms|Technical Information|Prevention|Recovery





Summary
Exploit:Win32/CplLnk.B is a generic detection for the vulnerability that is described by CVE-2010-2568.
When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.


Top


SymptomsThere are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).


Top


Technical Information (Analysis)Exploit:Win32/CplLnk.B is a generic detection for the vulnerability that is described by CVE-2010-2568. Exploit:Win32/CplLnk.B is a minor variation ofExploit:Win32/CplLnk.A.
When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.

Successful exploitation results in the malware running with the privileges of the logged-on user.
Additional Information
This vulnerability is referenced as Microsoft Security Advisory (2286198) and CVE-2010-2568. See Microsoft Security Advisory (2286198) for more information.


Analysis by Peter Ferrie



米短跑选手外
发表于 2010-7-23 23:03:38 | 显示全部楼层
E文不行 看不太懂·~
猪头大队
头像被屏蔽
发表于 2010-7-23 23:05:25 | 显示全部楼层
占楼看帖,关键是样本
bluelaser
发表于 2010-7-23 23:33:38 | 显示全部楼层
上样本。
c0x9z8
发表于 2010-7-24 00:08:58 | 显示全部楼层
LZ是用mse杀了么???
wjcharles
 楼主| 发表于 2010-7-24 01:55:17 | 显示全部楼层
.INK结尾的样本都被MSE直接删除,NIS隔离的那个不知道是不是。。。
nzhnha
发表于 2010-7-24 02:07:39 | 显示全部楼层
学校的机器你也敢查U盘?
a28522287
发表于 2010-7-24 06:14:00 | 显示全部楼层
谷歌大婶的翻译
微软反恶意软件检测到间谍软件或其他可能不需要的软件。
欲了解更多信息,请参见以下内容:
http://go.microsoft.com/fwlink/? ... threatid=2147636391

名称:漏洞:Win32/CplLnk.B

编号:2147636391

严重性:严重

分类:漏洞

路径:文件:男:\ __e__.lnk;文件:男:\ __f__.lnk;文件:男:\ __g__.lnk;文件:男:\ __h__.lnk;文件:男:\ __i__.lnk; filelocalcopy中:C :\ programdata文件\微软\微软反恶意\ LocalCopy \(31942C15 - FCD7 - 4F3D - B7E7 - 5BC52DD1C9E0)- __h__.lnk; filelocalcopy中:C:\ programdata文件\微软\微软反恶意\ LocalCopy \(98A81616 - F2C5 - 42D4 - ABE1 - BAE41AF739B0)- __f__.lnk; filelocalcopy中:C:\ programdata文件\微软\微软反恶意\ LocalCopy \(9A4B4792 - 33A8 - 4986 - 9A93 - 5D2CD44DA9A6)- __i__.lnk; filelocalcopy中:C:\ programdata文件\微软\微软反恶意\ LocalCopy \(CF1A460F - 219A - 4AC5 - AA8E - 8AD944E8BC6B)- __g__.lnk; filelocalcopy:\ \?\ ç:\ programdata文件\微软\微软反恶意\ LocalCopy \(C20F9126 - DA2A - 4875 - A459 - 9621A3EDA72D)- __e__.lnk

检测产地:本地机

检测类型:混凝土

检测资料来源:实时保护

状态:暂停

用户名:LH的,2UYY8QJXV2NM \管理员

进程名称:C:\的Windows \ Explorer.exe中

签名版本:影音:1.87.421.0,如:1.87.421.0

引擎版本:1.1.6004.0



国家情报院的日志:
2010/7/23 22:36,高,检测到的Autorun.inf(W32.Downadup!自动运行)(检测方:自动保护),已隔离,已解决 - 不采取操作

微软的病毒百科:
注意病毒还是新版的。。。
http://www.microsoft.com/securit ... y.aspx?name=Exploit%3aWin32%2fCplLnk.B&threatid = 2147636391


漏洞:Win32/CplLnk.B(?)

百科全书条目
更新:2010年7月20日|发布时间:2010年7月20日

别名


商用车展览会- 2010 - 2568(其他)


戒备级别(?)
严重

反恶意保障详情
Microsoft建议您下载最新的定义,以获得protected.Detection最初创建:
定义:1.87.193.0
发行时间:2010年7月20日




-------------------------------------------------- ------------------------------
在此pageSummary |症状|技术信息|预防|复原




-------------------------------------------------- ------------------------------

摘要
漏洞:Win32/CplLnk.B是对是漏洞CVE - 2010 - 2568中描述的漏洞通用检测。


当用户浏览一个文件夹,包含恶意使用的应用程序的快捷方式显示的快捷方式图标,而不是运行恶意软件。一个应用程序的快捷方式图标显示的例子是Windows资源管理器。没有进一步的用户交互是必需的,在大多数情况下。



顶部

-------------------------------------------------- ------------------------------

SymptomsThere与此相关的威胁没有共同的症状。从安装的防病毒软件警报通知,可能是唯一的症状(第)。


顶部

-------------------------------------------------- ------------------------------

技术信息(分析)漏洞:Win32/CplLnk.B是对是漏洞CVE - 2010 - 2568中描述的漏洞通用检测。漏洞:Win32/CplLnk.B是一个小变化ofExploit:Win32/CplLnk.A。
当用户浏览一个文件夹,包含恶意使用的应用程序的快捷方式显示的快捷方式图标,而不是运行恶意软件。一个应用程序的快捷方式图标显示的例子是Windows资源管理器。没有进一步的用户交互是必需的,在大多数情况下。

在与成功的权限运行恶意软件开发成果已登录的用户。
附加信息
此漏洞被引用为微软安全通报(2286198)和CVE - 2010 - 2568。请参阅Microsoft安全通报(2286198)以获取更多信息。



彼得费里埃分析
皇柝
发表于 2010-7-24 07:59:01 | 显示全部楼层
MSE的强项就是对付自家漏洞…但是一般的病毒木马还差了点
460355165
发表于 2010-7-24 08:42:56 | 显示全部楼层
可以去买彩票了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:08 , Processed in 0.133944 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表