内网病毒.可怕!

hetven

我前天在用卡助手更新系统漏洞时也遇到类似的问题.当时COMODO V3提示了LSASS和SMSS对cmd.exe的调用的.但我以为是卡卡更新必须的安装.所以没注意.就允许了.并且勾选了记住此规则.随后不久我打开任务管理器.赫然发现SMSS和LSASS进程.同时NOD32报在每个盘的根目录下Autorun.inf.删除.发现不妙.想查看系统的隐藏文件.发现已经不能看到隐藏文件.重启想进入安全模.失败后用winpe.看到com下存在SMSS.exe和LASSA.exe.用户All user的启动文件夹里存在~.exe.删除后重启.AVG 7.5和NOD32和COMODO V3均不能开机启动.其中AVG7.5和NOD32均不能运行.COMODO V3可以运行.我警惕地进入Windows后开启任务管理器.赫然又发现ping和cmd两个进程.随即又出现SMSS和LSASS两个进程.情况同前.我卸载所有杀软后重装COMODO和卡巴斯基.重启两杀软依然不能开机启动.卡巴和NOD32和AVG一样无法运行.最后忍无可忍.用GHOST恢复系统.本以来恢复后就没问题.运行endnote(一个文献管理软件)发现COMODO又报SMSS和LASSA调用cmd.exe.我这下心凉一截.莫非感染了exe文件!仔细查看.发现所以被感染的exe文件的图标色彩均发生变化.文件大小略有增大.因此将此类exe文件通通删除.损失惨重!这个病毒一直害我从晚上11点到凌晨4点多才基本清理完毕.今天我运行一个压缩包,里边原来就有个可执行文件的.又发现COMODO报.该文件想在com文件夹下创建SMSS和LASSA!靠.太恶毒了.竟然压缩包里的exe也能感染!现在看了论坛上的文章才知道是内网搞的鬼.真贵憾当然没有意识到是内网.没有及时查到对方IP和MAC.大家在内网千万要小心!

PS:我后来才知道此病毒会在每个盘下生成Autorun.inf和pagefile.pif.其中Autorun.inf可能是病毒主体.双击盘符即启动病毒.不知道现在有没有能杀的.或能恢复受感染的exe文件的.虽然我的受感染的已经删除.同时.我参考当初对付威金变种的方法:我的盘是NTFS格式,我在com目录下建立记事本文件并命名:SMSS.exe\LASSA.exe\~.exe.同时在每个盘根目录下建立Autorun.inf.取其属性不允许任何用户读取运行及更改.不知道能不能起到预防作用.

我可能写得不是很清楚.大家可以看http://bbs.kafan.cn/viewthread.php?tid=159905&extra=page%3D1此贴.我的毒应该和他的毒是一样的.

qigang

那可以跟进去讨论么，不需要再开帖子。

dsd1982

1 拔网线

2 windows清理助手查杀木马和注册表 改名防止劫持
清楚auto文件 和pagefile。pif

3卡巴红伞全盘扫毒 别偷懒 漏一个exe你就白忙了

4 ok后装彩影的arp防火墙

dsd1982

你还是没小心

那个是隐藏了exe后缀的双后缀文件
类是aa.zip.exe

哈哈 她很聪明把

dsd1982

autorun不是本体

本体是被感染的exe文件

tanlimo

由LSASS和SMSS来调用cmd.exe，看来SSM是防不住这个东西了。

dsd1982

对  一定要禁用自动运行和cmd

知道为啥赞扬mcafee了吧

qianwenxiang

LZ可否提供感染样本 否则稍候转到反木马间谍讨论区..

dsd1982

我一个月前被这东西整的半死

第一次花了3个小时才收拾好一台机子

用了一个星期才摸透他的传播方式

当天就给kafan和 绅博 投稿去了

可惜石沉大海还被人当离奇小说酸
今天一个月前的帖才浮起来

dsd1982

原帖由 qianwenxiang 于 2007-12-19 20:33 发表
LZ可否提供感染样本 否则稍候转到反木马间谍讨论区..

exe样本都在变化升级 但是传播方式和我说的一样

这次的太狡猾得从各方面绞杀 纯杀软解决不了 事后还会出来