全盘EXE执行后生成文件名+srv.exe 怀疑是Win32.Ramnit.a

显示全部楼层 · 发表于 2015-7-30 00:37:45

执行任意EXE后都会生成文件名+srv.exe 并且修改全盘html.htm.php等网页文件

查是查到了大数字也可以修复EXE和HTML 但是真的无法彻底清除啊！

另外在文件描述里面竟然有一个IP地址，我也是醉了

解压后不要运行啊，附上火眼的分析结果。
火眼--结果分析--验证码等待+DATASrv.zip http://fireeye.ijinshan.com/anal ... c4c&type=1#full

显示全部楼层 · 发表于 2015-7-30 00:44:03

周末看有没有机会双击

显示全部楼层 · 发表于 2015-7-30 00:44:17

显示全部楼层 · 发表于 2015-7-30 00:50:57

230f4 发表于 2015-7-30 00:44
周末看有没有机会双击

请你解释一下这张图的含义

显示全部楼层 · 发表于 2015-7-30 00:51:14

Ｍy↘じ★ve 发表于 2015-7-30 00:44

主要是感染后全盘清理很麻烦

显示全部楼层 · 发表于 2015-7-30 01:01:18

两个结果
一键云

右键

显示全部楼层 · 发表于 2015-7-30 02:12:28

红伞杀“W32/Ramnit.A [virus]”

显示全部楼层 · 发表于 2015-7-30 07:06:21

v825852188 发表于 2015-7-30 00:50
请你解释一下这张图的含义

BD 直接拦截下载，报告由Ramnit病毒……
LZ是不是没有设置密码啊

显示全部楼层 · 发表于 2015-7-30 07:26:06

本帖最后由 ericdj 于 2015-7-30 07:27 编辑

idm下载时，NS sonar启发报idm

允许运行后，成功下载。
解压后，NS 开始各种虐了

downloading insight 和file insight都报毒

Auto protect报毒

为嘛两次报的病毒还不一样啊

@驭龙 @尘梦幽然

显示全部楼层 · 发表于 2015-7-30 07:56:02

DPT1 发表于 2015-7-30 01:01
两个结果
一键云

一个调用的是云启发引擎（非kvm）一个调用的是云特征引擎

[病毒样本] 全盘EXE执行后生成文件名+srv.exe 怀疑是Win32.Ramnit.a