“道”字病毒，就爱劫持影像

marksu2006

各盘下生成bigdog.exe autorun.inf
磁盘不管是双击还是右键均不能打开，任务管理器、系统配置实用程序、注册表编辑器和组策略打不开。
隐藏文件不能显示，一些杀毒软件和安全辅助软件如瑞星、金山、卡巴、360安全卫士以及一些安全
辅助软件不能运行，一些安全网站不能打开，耗费大量资料，此病毒影像劫持！并且修改系统时间到2000年。

技术细节

病毒添加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：bigdog
指向文件：%systemroot%\system32\ bigdog.exe

项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ avp.exe
被映像劫持的杀毒软件包括：CCenter.exe、360safe.exe、autoruns.exe、Rav.exe、ras.exe、KWatch.EXE、KAVStart.exe、taskmgr.exe


VirSCAN.org Scanned Report :
Scanner results: 50%的杀软(18/36)报告发现病毒
File Name      : dogok.zip
File Size      : 454828 byte
File Type      : Zip archive data, at least v2.0 to extract
MD5            : 46dd4425b61aa33afd8c657cde1abcfd
SHA1           : 0658c1e0a7154c7f39f500665605c533026a1df8
Online report  : http://virscan.org/report/a61004605b284588fd3cb09673d51ebf.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2008.01.27        2008-01-27  5.57   Worm.Win32.AutoRun.beu
安博士V3       2008.01.23.11   2008.01.23        2008-01-23  1.50   -
AntiVir        7.6.0.56        7.0.2.52          2008-01-27  13.98  TR/Agent.458723
Arcavir        1.0.4           200801271933      2008-01-27  10.33  -
AVAST          1.0.8           080127-1          2008-01-27  12.72  Win32:AutoRun-LY [Wrm]
AVG            7.5.51.442      269.19.9/1239     2008-01-23  10.88  -
BitDefender    7.60825.977578  7.17178           2008-01-28  19.40  Generic.Malware.SQ!.0BC31BB2
CA (VET)       9.0.0.143       31.3.5486         2008-01-26  6.36   Win32/Nuj.A worm.
ClamAV         0.92            5574              2008-01-27  0.00   -
Comodo         2.11            2.0.0.417         2008-01-27  2.51   -
CP Secure      1.1.0.695       2008.01.27        2008-01-27  40.17  Troj.Downloader.W32.Delf.bq
Dr.WEB         4.44.0.9170     2008.01.27        2008-01-27  29.84  -
ewido          4.0.0.2         2008.01.27        2008-01-27  3.66   -
F-PROT         4.4.1.52        20080127          2008-01-27  7.79   Possible W32/Blocker-based!Maximus
F-SECURE       5.51.6100       2008.01.27.02     2008-01-27  1.92   Worm.Win32.AutoRun.beu [AVP]
飞塔           2.81-3.11       8.684             2008-01-28  3.46   W32/Delf.AQ!tr.dldr
ViRobot        20080125        2008.01.25        2008-01-25  1.13   Trojan.Win32.Autorun.458723
IKARUS         T3.1.01.15      2008.01.28.70214  2008-01-28  2.12   Worm.Win32.AutoRun.beu
江民杀毒       10.00.650       2008.01.27        2008-01-27  2.54   -
卡巴斯基       5.5.10          2008.01.28        2008-01-28  46.28  Worm.Win32.AutoRun.beu
金山毒霸       2007.6.20.249   2008.1.28         2008-01-28  2.42   -
迈克菲         5.2.00          5216              2008-01-25  10.58  -
MKS_VIR        2.01            2008.01.27        2008-01-27  22.13  -
NOD32          2.70.10         2822              2008-01-25  0.01   -
NORMAN         5.91.10         5.90              2008-01-23  133.14 -
熊猫卫士       9.04.03.0001    2008.01.27        2008-01-27  4.70   W32/Autorun.JT.worm
趋势           8.500-1001      4.966.04          2008-01-27  0.11   -
Prevx          V2              20080128          2008-01-28  9.69   Generic.Malware
QuickHeal      9.00            2008.01.25        2008-01-25  4.31   -
瑞星           19.0            20.28.62.00       2008-01-27  2.19   Worm.Win32.Agent.zhx
SOPHOS         2.53.1          4.25              2008-01-24  14.41  Mal/Generic-A
赛门铁克       1.3.0.24        20080127.003      2008-01-27  0.21   -
nProtect       2008-01-28.00   1153795           2008-01-28  5.18   Trojan/W32.Agent.458723
The Hacker     6.2.9           v00200            2008-01-27  1.94   -
VBA32          3.12.2.5        20080127.0908     2008-01-27  5.30   Worm.Win32.AutoRun.beu
VirusBuster    4.3.19:9        9.120.12/11.0     2008-01-27  15.15  -

[ 本帖最后由 marksu2006 于 2008-1-28 17:05 编辑 ]

红心王子

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Worm.Win32.Agent.zhx     

MAC 地址：00:1E:4F:91:F4:F0

用户来源：局域网

软件版本：20.29

IllusionWing

搞定

易写的，反编译稍后

UGuard AutoProtect R3Defender v1.9.0 - 开始防护在2008年1月28日15时54分23秒
级别：3，bigdog.exe 试图 打开受保护的文件 F:\Users\Administrator\Desktop\bigdog\bigdog.exe 。 - 允许
级别：6，bigdog.exe 试图 打开受保护的文件 D:\Temp\E_4\krnln.fnr 。 - 允许
级别：9，bigdog.exe 试图 打开受保护的文件 D:\Temp\E_4\shell.fne 。 - 允许
级别：12，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\BmpOperate.fne 。 - 允许
级别：15，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\dp1.fne 。 - 允许
级别：18，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\eAPI.fne 。 - 允许
级别：21，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\eCalc.fne 。 - 允许
级别：24，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\edroptarget.fne 。 - 允许
级别：27，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\eMMedia.fne 。 - 允许
级别：30，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\EThread.fne 。 - 允许
级别：33，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\HtmlView.fne 。 - 允许
级别：36，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\iext.fnr 。 - 允许
级别：39，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\iext2.fne 。 - 允许
级别：42，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\krnln.fnr 。 - 允许
级别：45，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\shell.fne 。 - 允许
级别：48，bigdog.exe 试图 删除受保护的文件 D:\Temp\E_4\spec.fne 。 - 允许
级别：60，bigdog.exe 试图 更改系统时间 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：60。
级别：63，bigdog.exe 试图 打开受保护的文件 c:\autorun.inf 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：63。
级别：66，bigdog.exe 试图 打开受保护的文件 c:\autorun.inf 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：66。
级别：69，bigdog.exe 试图 打开受保护的文件 d:\autorun.inf 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：69。
级别：72，bigdog.exe 试图 打开受保护的文件 c:\autorun.inf 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：72。
级别：75，bigdog.exe 试图 打开受保护的文件 d:\autorun.inf 。 - 允许
信息：在 bigdog.exe 发现 可能的 Generic.Invader，级别：75。
UGuard AutoProtect R3Defender v1.2.1 - 进程由于 Generic.Invader 退出在2008年1月28日15时54分34秒。

leonfg

ESET
C:\Documents and Settings\GUNDAM\桌面\bigdog\bigdog.exe - Win32/AutoRun.FV worm
谁说nod不报了？

建议以后不要加密码 麻烦

[ 本帖最后由 leonfg 于 2008-1-28 16:42 编辑 ]

28654621

过 费尔

IllusionWing

c:\到l:\生成bigdog.exe autorun.inf
更改HOSTS
从Run组启动
破坏安全模式
还有IFEO
..
貌似易4.06编译

Redevil

大狗病毒。。。。

gho

Result: 1 malware found
Worm.Win32.AutoRun.beu (virus)
E:\Documents and Settings\Administrator\×ÀÃæ\bigdog.exe Action: renamed

capsshift

红伞已知，不下了。

kkgh

蠕虫名称:Worm.Win32.AutoRun.ui

程序:
C:\DOCUMENTS AND SETTINGS\ZH\桌面\BIGDOG.EXE
是蠕虫程序!
已成功阻止其运行,是否要删除此文件?