U盘里发现的一只

saga3721

这算干嘛的？

avalonfish

瑞星也不报，不过它的上报方式太霸道，把本机信息也发了过去，不上报了。

hj5abc

这么明显 沙盘竟然叫no malware

blue.exe : Not detected by Sandbox (Signature: NO_VIRUS)


[ DetectionInfo ]
    * Sandbox name: NO_MALWARE
    * Signature name: NO_VIRUS
    * Compressed: NO
    * TLS hooks: NO
    * Executable type: Application
    * Executable file structure: OK

[ General information ]
    * **Locates window "NULL [class Blue]" on desktop.
    * Creating several executable files on hard-drive.
    * File length:       163888 bytes.
    * MD5 hash: 7ec5bebbfa57856268eea4a7ef6e23e5.

[ Changes to filesystem ]
    * Creates file C:\WINDOWS\BLUE.EXE.
    * Deletes file C:\Blue.exe.
    * Creates file C:\Blue.exe.
    * Deletes file C:\autorun.inf.
    * Creates file C:\autorun.inf.

[ Changes to registry ]
    * Creates value "WinServer"="C:\WINDOWS\BLUE.EXE /BLUE:Kernel32.Dll" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
    * Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\bluec".

[ Process/window information ]
    * Will automatically restart after boot (I'll be back...).

[ 本帖最后由 hj5abc 于 2007-12-31 23:51 编辑 ]

gho

FS miss,nod32启发

maybe00

趋势不报

81981368

C:\Documents and Settings\Administrator\桌面\blue.rar>>blue.exe        Worm.AutoRun.bku.zdmp        病毒       
费尔查的

plpl574

微点杀杀杀

5551551

报告：
是木马，各盘下面都出现病毒文件Blue.exe。进程中也出现Blue.exe，但可以关掉。这个病毒不难。由于我已经免疫过了，AUTORUN也莫奈我何也。

A.bat
cd\
attrib -a -s -r -h Blue.exe
del Blue.exe /f
d:
attrib -a -s -r -h Blue.exe
del Blue.exe /f
e:
attrib -a -s -r -h Blue.exe
del Blue.exe /f
f:
attrib -a -s -r -h Blue.exe
del Blue.exe /f


搞定。。。。。。。。。。。。。。。。。。。。。。 [:03:]



驱动器 C 中的卷是 WINXP
卷的序列号是 5439-5240
C:\ 的目录
2006-04-08  15:00               512 bootsect.dos
2007-12-17  18:04               232 boot.ini

2007-03-16  19:21           163,888 Blue.exe
驱动器 D 中的卷是 本地磁盘
卷的序列号是 6462-1AC0
D:\ 的目录
2007-11-28  10:15    <DIR>          mp3
2007-12-22  23:50    <DIR>          电脑学习
2007-12-18  13:45    <DIR>          ..
2007-12-22  22:56    <DIR>          下载小软件
2007-03-16  19:21           163,888 Blue.exe
驱动器 E 中的卷没有标签。
卷的序列号是 7095-4785
E:\ 的目录
2007-03-16  19:21           163,888 Blue.exe
2007-03-22  14:57    <DIR>          VCD歌碟大全
2005-11-26  17:11    <DIR>          资料文件
2005-10-20  16:02    <DIR>          相片
驱动器 F 中的卷没有标签。
卷的序列号是 737E-84B6
F:\ 的目录
2007-03-09  12:34    <DIR>          图库
2007-09-14  22:25    <DIR>          新买的相机
2008-01-02  08:04       805,306,368 pagefile.sys
2008-01-02  13:08    <DIR>          autorun.inf
2008-01-02  13:08    <DIR>          clhmjlf.exe
2007-03-16  19:21           163,888 Blue.exe
2007-12-05  22:23    <DIR>          argh.

[ 本帖最后由 5551551 于 2008-1-2 14:29 编辑 ]

啊弥陀佛

微点砍掉

Graybird

The file 'blue.exe' has been determined to be 'MALWARE'. Our analysts named the threat Worm/Autorun.bku. The term "WORM/" denotes a worm that is able to spread itself for instance over the Internet (using eMail, peer-to-peer networks, IRC networks etc.).Detection will be added to our virus definition file (VDF) with one of the next updates.