老样本

Dlamantis

这个样本已经很久了，为什么AVP引擎还是没反应.......
VirSCAN.org Scanned Report :
Scanned time   : 2008/03/12 21:36:21 (CST)
Scanner results: 58%的杀软(21/36)报告发现病毒
File Name      : 附件.rar
File Size      : 25032 byte
File Type      : RAR archive data, v1d, os
MD5            : 4b2637d520cce885604257acbba79d2e
SHA1           : 336009781612ff2fdd085ef88ac97c2b88eb2d28
Online report  : http://virscan.org/report/417d24630b43e848633cdf79967a3455.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2008.03.11        2008-03-11  4.89   -
安博士V3       2008.03.12.01   2008.03.12        2008-03-12  2.12   -
AntiVir        7.6.0.73        7.0.3.20          2008-03-12  10.09  Worm/VB.BV.6
Arcavir        1.0.4           200803111716      2008-03-11  5.58   Worm.Vb.Fp
AVAST          1.0.8           080311-0          2008-03-11  9.17   Win32:VB-GYM [Trj]
AVG            7.5.51.442      269.21.7/1325     2008-03-11  17.88  -
BitDefender    7.60825.986898  7.17974           2008-03-12  20.43  Worm.Win32.VB.BV
CA (VET)       9.0.0.143       31.3.5608         2008-03-12  13.52  -
ClamAV         0.92            6206              2008-03-12  0.01   Worm.VB-121
Comodo         2.11            2.0.0.462         2008-03-12  1.92   -
CP Secure      1.1.0.715       2008.03.12        2008-03-12  26.81  W32.Email.W.VB.au
Dr.WEB         4.44.0.9170     2008.03.12        2008-03-12  13.28  -
ewido          4.0.0.2         2008.03.11        2008-03-11  3.31   -
F-PROT         4.4.1.52        20080311          2008-03-11  7.84   W32/Worm.EW (exact)
F-SECURE       5.51.6100       2008.03.12.05     2008-03-12  0.16   -
飞塔           2.81-3.11       8.835             2008-03-12  3.18   W32/Uisgon!tr
ViRobot        20080312        2008.03.12        2008-03-12  1.69   Worm.Win32.VB.14336
IKARUS         T3.1.01.20      2008.03.10.70432  2008-03-10  7.98   Worm.Win32.VB.BV
江民杀毒       10.00.650       2008.03.12        2008-03-12  2.76   Worm/VB.dn
卡巴斯基       5.5.10          2008.03.12        2008-03-12  32.46  -
金山毒霸       2007.6.20.249   2008.3.12         2008-03-12  2.03   -
迈克菲         5.2.00          5249              2008-03-11  7.57   W32/Uisgon.dr
Microsoft      1.3301          2008.03.12        2008-03-12  8.98   -
MKS_VIR        2.01            2008.03.11        2008-03-11  9.55   Worm.VB.fp
NORMAN         5.91.10         5.90              2008-03-11  18.07  W32/VBWorm.OZG
熊猫卫士       9.04.03.0001    2008.03.11        2008-03-11  4.74   Generic Worm        
趋势           8.500-1001      5.158.03          2008-03-12  0.04   -
Prevx          V2              20080312          2008-03-12  15.78  Generic.Malware
QuickHeal      9.00            2008.03.11        2008-03-11  2.69   Worm.VB.fk
瑞星           20.0            20.35.21.00       2008-03-12  2.18   -
SOPHOS         2.71.3          4.27              2008-03-10  3.58   -
赛门铁克       1.3.0.24        20080311.002      2008-03-11  2.60   Downloader
nProtect       2008-03-12.00   1200361           2008-03-12  9.84   Trojan/W32.Small.14336.F
The Hacker     6.2.92          v00243            2008-03-11  2.76   W32/VB.gen
VBA32          3.12.6.2        20080312.0818     2008-03-12  2.84   Worm.Win32.VB.fp
VirusBuster    4.3.19:9        9.123.7/11.0      2008-03-11  3.12   -

qigang

也许不是病毒捏！

wangjay1980

U盘病毒分析
                        作 者：CyyIsGood、Cloud

★功能：
        一、分析某一个或多个磁盘中的Autorun.inf，确定引导的文件，备份引导文件并
将其删除。（如果让其一直运行，可以防范U盘病毒）
        二、免疫某一个或多个磁盘，四级免疫：Autorun.inf文件夹、加系统/隐藏/只读
/存档属性、8.3子文件夹、NTFS写权。
        三、发送备份的文件给作者（目前，该功能只适用于肇中高中部校园网）
★设定：
        默认情况：回显、日志（保存地址： U盘病毒分析.bat所在目录\log.txt）、免疫
、打包、循环打开，发送文件关闭，盘符为：CDEFGHIJKLMNOPQRSTUVWXYZ。用下面的开关调
整：
        -?              显示帮助（本信息），如果此参数存在，忽略其它参数
        -a              关闭回显
        -l              关闭日志
        -d [盘符]       盘符是字母，例如"-d CD"表示处理C盘和D盘
        -c              关闭循环
        -i              关闭免疫
        -p              关闭打包（备份）
        -y              打开交互模式（删除文件需要确认）
        -s              打开发送文件（将打包文件发给作者），这样需要映射一个网络
磁盘，盘符由本批处理自动分配。当选择此项时，自动打开发送文件，"-p"参数无效。
        无论是什么模式，发现存在 U盘病毒分析.bat所在目录\bye.txt时，删除它并退出
。也就是说，循环模式中，新建一个 U盘病毒分析.bat所在目录\bye.txt文件可以跳出循环
。
★版权说明：
        这个批处理写了我很长时间，凝结了我很多心血。希望大家尊重作者，不要自行修
改。如果您想加入其中，我非常欢迎，请联系我本人，发邮件到：cyyisgood@126.com ，或
登陆我们的论坛：http://dust-hack.vicp.net
        其他文件版权归各自作者所有。
————————————————————————————————————————
包含文件（共8个）：
U盘病毒分析.bat         主文件，所有操作由它决定，向它提交不同的参数，它按情况进
                        行相应操作。“主操控.bat”依赖的文件
主操控.bat              为方便用户使用而写成，运行后显示帮助，并提示输入参数，然
                        后调用“U盘病毒分析.bat”。
uda-解压.bat            把打包后的文件拖到它的图标上，自动把文件解压到\udafiles\
                        文件夹中。
Anti-U盘免疫.bat        免疫是可逆的，如果用户不喜欢免疫，把要解除免疫的盘符拖到
                        它的图标上，即可解除免疫。
uda.a                   “U盘病毒分析.bat”、“uda-解压.bat”依赖的文件，用于打包
                        、解包文件。
zap.a                   “U盘病毒分析.bat”依赖的文件，可以删除（或重命名）正在运
                        行的文件，根据测试，在NTFS中，只要不是拒绝Everyone权限，
                        都可操作。
打开发送功能.bat        为了方便校园网而制作，其他地域不适用。
readme.txt              本文件。

★：运后会生成文件：“sleep.vbe”，“log.txt”；可能生成目录：\bakfiles\

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
这个版本是Beta5
PS:Beta4出来第一天（2007年3月5日）uda.exe 被 卡巴斯基 误报为蠕虫病毒（壳的问题）
，虽然我立刻处理，但不曾使用。在此把Beta3到Beta5的修正内容都写下来：
    对于exe文件改成a后缀（避免被病毒感染）
    对每个文件进行判断，尽可能地还原（还原不了就自毁）
    新增交互模式（删除文件需要确认）
    对磁盘格式的判断
    删除一些多余语句
    删除文件前，判断是否是NTFS，并进行相应处理
    分配映射盘时，先检测是否有已经映射的盘
    修正一些输出
    uda压缩时出错停滞的问题
    删除映射盘要求确定会停滞的问题
    循环模式退出不执行清理的问题
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
一些问题：
1、为什么用WinUDA进行打包处理，WinRAR不是更好吗？
答：打包的文件，多数使病毒，如果用WinRAR打包，杀毒软件一下就可以把它干掉。目前据
我所知还没有一个杀毒软件可以打开WinUDA打包的文件。其次，WinRAR的命令行版大小307K
且是共享软件，WinUDA仅仅14K且使免费软件。还有，一般情况下，WinUDA的压缩率要高于W
inRAR，WinUDA 唯一的缺点就是压缩速度慢，资源占用高（这是我不用0.300版用0.261版的
原因（现在压缩使用的是模式0，需要内存32M））。
2、为什么用zap，del命令不是方便吗？
答：原则上，文件应该越少越好。由于U盘病毒分析时， 有时要删除一些正在运行的文件，
“del”命令就有点显得力不从心。因此用zap。另外，zap可能会在根目录生成*.tmp文件文
件（或者叫重命名后移动到根目录），我还时用到了“del”命令。
3、打包（压缩）错误：
当压缩或解压显示以下错误时,只有三个按键可选择:Y--是,N--否,Q--放弃退出.
(有时不能选择"否"(N);一般需要一定的处理才能选"是"(Y),如增加磁盘剩余空间)
"Error Open: Retry?[Y/Q]"---压缩时无法打开待压缩的文件,确认是否重试
"Error Read: Retry?[Y/Q]"---压缩时无法读取待压缩的文件,确认是否重试
"Err:Retry?"---解压时无法建立压缩包中的文件或目录,确认是否重试
"Overwrite?"---解压时出现了同名文件,确认是否覆盖
"ErW:Retry?"---解压时无法写入解压缩的文件,确认是否重试
以上错误的原因可能为以下几个情况:
(1)剩余空间不足(2)有同名目录或文件(3)磁盘写保护(4)向光盘写数据
(5)欲覆盖的文件是只读属性(6)磁盘损坏无法读取或写入数据
其他严重的错误会直接退出,而且提示比较详细,不再赘述.
4、为什么会删除文件出错？
答：(1)磁盘是写保护的；解决办法：解除写保护，U盘把开关扮一下即可
    (2)用户权限太低；解决办法：换更高的权限的用户
    (3)有程序保护；解决办法：重新启动或结束该进程
5、为什么会写权失败？
答：(1)磁盘是写保护的；解决办法：解除写保护，U盘把开关扮一下即可
    (2)用户权限太低；解决办法：换更高的权限的用户
★：更多问题请直接联系我，发邮件到：cyyisgood@126.com colud018@qq.com。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
求助：
FastMail 的命令行版
如果有哪一位朋友能解决，发邮件到：cyyisgood@126.com colud018@qq.com。无限感激！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
版权说明：
    这个批处理写了我很长时间，凝结了我很多心血。希望大家尊重作者，不要自行修改。
如果您想加入其中，我非常欢迎，请联系我们，发邮件到：cyyisgood@126.com colud018@q
q.com，或登陆我们的论坛：http://dust-hack.vicp.net
    其他文件版权归各自作者所有。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
如果有谁发现Bug，请告诉我！无限感激！有什么意见，也请告诉我！无限感激！
发邮件到：cyyisgood@126.com，colud018@qq.com
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
感谢：
WinUDA作者：Dwing
zap作者：Microsoft Corporation