圣诞惊魂记

福尔马林

先说一下，偶用的麦版的nod32 2.7加Pctools，偶尔用绿色drweb杀杀。备有一个2000的gho和xp的gho，平时喜欢用2000的，点文件夹快得嗖嗖的。公司开发的一个数据库不兼容2000，要调用数据库的时候就ghost回xp的系统。

周二（圣诞节）上午，正在上网，一MM用MSN要给我发一压缩包，名称是Merry Christmas。其实兄弟我平时是非常小心的，显示器跳出接收文件的对话框，我都会先问是不是对方本人发的，可是这次，第一，是圣诞节，第二，mm的确经常因为工作会给我传文件，我就没有问mm，就直接收了。收了之后，先用俺的NOD2.7右键深层扫描，没报，然后点开一看，是一个.scr文件。我当时想，应该是圣诞快乐的一个屏保吧，于是，就双击了那个.SCR看效果，结果没有东西出来。当时有点怀疑是不是中招了。Ctrl+alt+del一看，多了个scr进程。就关了那个进程。然后赶快nod扫了下c盘和d盘。没事。

下午,MM打电话过来，说上午发的是病毒。我想，应该没事吧。又用hijackthis扫了下启动项，也没发现啥异常。
接下来两天相安无事。

今天早上来，开了电脑之后，发现反应有点慢，赶快Ctrl+alt+del，发现多了3个进程：一个vtutu.exe,
一个svho.exe,一个msnmsgr .exe(注意那个空格，真是狡猾啊)。赶快结束，hijackthis一把，发现多了msnmsgrsu.exe，vtutu.exe, svho.exe, servidevice.exe.
赶快安全模式下面去掉这几个启动项，然后nod全盘扫，发现foxmail .exe, Msnmsgr .exe. 杀掉重启，再点快速启动栏里面的MSN图标，提示说是找不到指向文件。原来病毒把MSN启动项劫持了。

说这件事，主要是提醒XDJM们，千万不要像我这样对病毒掉以轻心。就算是再pl的mm发文件给你，也要确认一下再收。幸亏俺发现病毒迹象早，不然的话，万一把俺的e盘d盘数据弄丢个一两G的，俺可发大了。

leonfg

后来nod能扫出来？

billy_xx

LZ把那个病毒包上传下看看

mofunzone

这种病毒每天变种2-3个，nod32每日都全miss，现在手里就只有有5个样本，旧的删了
不过说真的，antivir也不怎样，也就50%真正识别出来的
但是HIDDENEXT/Worm.Gen是一个伟大的东西，这种病毒全部0day对于antivir来说

时尚の瓜落儿

。。。只是个杀软啊

111

好帖子需要好人来顶

hj5abc

原帖由 mofunzone 于 2007-12-28 15:17 发表
HIDDENEXT/Worm.Gen

hidden extension ..