一个超级BT的病毒..

chendengwei

前天中了一个病毒,是在别人一个博客上下的:http://hi.baidu.com/bstgy/blog/item/2fe248df8081b3116227985a.html,并且还在baidu的第1个...木马文件捆绑了2个其他'安装的东西可以忽略,下载下来是个解压缩包,,机子先卡了一下,然后在相应盘出现个C5D07FF0和AutoRun..然后消失,所有隐藏文件不见,checkedValue值肯定变为了0,,每隔3s系统自动运行什么东西,鼠标有操作的显示,进程没有任何可疑的出现,然后偶关机启动,在进入系统前杀毒没有用(安全模式不能进,蓝屏!),显示无毒.之后重装系统后发现,重起后CheckedValue键值自动变为0(即选择"显示所有隐藏文件"和"显示系统文件"无效).  说明当然毒还是没有杀掉.于是把值变为1后,在每个盘除了C盘外,所有的盘下都有C5D07FF0和AutoRun我把它们删掉,几秒后2个文件再次出现,如果我自己先AutoRun几秒后内容自动更换,内容大概忘了,好像是什么:
OPEN=C5D07FF0.exe
shellexecute=C5D07FF0.exe
shell\Auto\command=C5D07FF0.exe


我在虚拟机上试了下运行，结果咖啡被喀嚓了...被关闭了...看来咖啡也强不到哪里去

各位有条件的在虚拟机里测试下...

tracydk

Starting the file scan:

Begin scan in 'F:\病毒样本\C5D07FF0.rar'
F:\病毒样本\C5D07FF0.rar
  [0] Archive type: RAR
  --> C5D07FF0.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
      [INFO]      The file was deleted!

zea10t

AV终结者

zzybwdb_2007

咖啡被喀嚓了？？？？8.5i规则设定好了没容易被挂掉的。。。看来楼主没用过企业版。。。

PS：“AV终结者”咖啡8.5i+超级版规则可以防。。。。。。[:27:] [:27:]

[ 本帖最后由 zzybwdb_2007 于 2007-7-9 12:01 编辑 ]

zongkai

LZ用的是咖啡的默认规则吧   

chendengwei

PS  是企业版的 ....病毒一运行咖啡就被关闭了，

小邪邪

刚刚试过了，即使直接执行，咖啡防“死”它也是完全没问题的啊
可能是前摄规则没搞好吧？

后台拦截日志：
2007-7-9 12:22:07
已由访问保护规则禁止E:\Downloads\test\C5D07FF0\C5D07FF0.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\A1D29050.dll
通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件
已阻止的操作: 创建

试图在C:\Program Files\Common Files\Microsoft Shared\MSINFO\目录下创建A1D29050.dll

小邪邪

http://bbs.kafan.cn/viewthread.php?tid=105769&extra=page%3D2

http://bbs.kafan.cn/viewthread.php?tid=105002&extra=page%3D1

相比那些更加厉害的驱动级病毒，这个所谓的“AV终结者”可能还算不上一 碟小菜

事先搞好规则很重要，只要规则应用得好，咖啡会变得巨强

oNe1127

我中了。。。。经过3次重装
终于知道手动删掉。。。

SW0123

....=.=