xlpesfv.exe病毒(看上去有一点磁碟机的特性)

碧血冰心

前天晚上在帮用户解决问题时，无意中发现的一个病毒。
在这儿拿出来与大家分享。

碧血冰心

我在百度中没有找到相关的信息，送于VirScan也没查出什么。
但肯定它是病毒，估计是新出来还的吧。

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\du.rar'
C:\Documents and Settings\Administrator\My Documents\
  du.rar
    [0] Archive type: RAR
    --> du\UKFXTQT.EXE
        [DETECTION] Is the Trojan horse TR/Autorun.BA
    --> du\xlpesfv.exe
        [DETECTION] Is the Trojan horse TR/Autorun.BA
    --> du\SREngLOG.log
      [NOTE]      TR/Autorun.BA: Script-Error (4)
      [NOTE]      The file was deleted!

mofunzone

引擎有bug？
奇怪的note
和官方反应一下

碧血冰心

软件名称 ↓          引擎版本          病毒库版本         病毒库时间         扫描结果          时间
a-squared         3.5.0.16         2008.04.21         2008-04-21        
-
        3.719
AntiVir         7.8.0.8         7.0.3.195         2008-04-21        
TR/Autorun.BA
        8.777
Arcavir         1.0.4         200804210114         2008-04-21        
Trojan.Autorun.Al
        1.639
AVAST         1.0.8         080421-1         2008-04-21        
Win32:AutoRun-BJ
        3.061
AVG         7.5.51.442         269.23.3/1390         2008-04-21        
Worm/Delf.DST
        2.239
BitDefender         7.60825.1170327         7.18584         2008-04-22        
Win32.Worm.Autoruner.CC
        3.997
CA (VET)         9.0.0.143         31.3.5723         2008-04-22        
Win32/Mocmex.DZ worm.
        13.802
ClamAV         0.93         6863         2008-04-21        
Trojan.Packed-126
        0.056
Comodo         2.11         2.0.0.502         2008-04-21        
-
        1.243
CP Secure         1.1.0.715         2008.04.21         2008-04-21        
Troj.W32.Pakes
        5.127
Dr.WEB         4.44.0.9170         2008.04.21         2008-04-21        
Win32.HLLW.Autoruner.358
        5.123
ewido         4.0.0.2         2008.04.21         2008-04-21        
-
        2.790
F-PROT         4.4.1.52         20080421         2008-04-21        
Possible W32/Threat-HLLPEM-based!Maximus
        2.217
F-SECURE         5.51.6100         2008.04.21.07         2008-04-21        
Virus.Win32.AutoRun.gq [AVP]
        4.068
IKARUS         T3.1.01.26         2008.04.18.70623         2008-04-18        
Packed.Win32.Klone.af
        2.224
Microsoft         1.3408         2008.04.22         2008-04-22        
TrojanDownloader:Win32/Agent.FF
        7.933
MKS_VIR         2.01         2008.04.21         2008-04-21        
-
        2.899
NORMAN         5.91.10         5.90         2008-04-16        
W32/Kenfa.D
        4.953
nProtect         2008-04-21.00         1415217         2008-04-21        
Trojan/W32.AutoRun.124766
        9.260
Prevx         V2         20080422         2008-04-22        
Generic.Malware
        26.825
QuickHeal         9.00         2008.04.21         2008-04-21        
Suspicious - DNAScan
        2.821
SOPHOS         2.72.0         4.28         2008-04-19        
Mal/EncPk-AP
        4.408
The Hacker         6.2.92         v00286         2008-04-21        
Trojan/Dropper.gq
        0.888
VBA32         3.12.6.4         20080421.0857         2008-04-21        
Virus.Win32.AutoRun.al
        3.718
ViRobot         20080421         2008.04.21         2008-04-21        
Trojan.Win32.Autorun.124753
        0.426
VirusBuster         4.3.19:9         9.125.1/11.0         2008-04-21        
Packed/PE-Armor
        6.886
卡巴斯基         5.5.10         2008.04.21         2008-04-21        
Virus.Win32.AutoRun.gq
        7.422
安博士V3         2008.04.19.00         2008.04.19         2008-04-19        
Win-Trojan/AutoRunner.124753
        1.300
江民杀毒         10.00.650         2008.04.21         2008-04-21        
Trojan/DiskAutorun.lu
        1.748
熊猫卫士         9.04.03.0001         2008.04.21         2008-04-21        
Generic Malware     
        2.852
瑞星         20.0         20.41.02.00         2008-04-21        
Worm.Win32.AvKiller.u
        3.131
赛门铁克         1.3.0.24         20080421.003         2008-04-21        
W32.Dotex
        0.239
趋势         8.500-1001         5.230.09         2008-04-21        
-
        0.153
迈克菲         5.2.00         5278         2008-04-21        
Generic.dx
        2.445
金山毒霸         2007.6.20.249         2008.4.21         2008-04-21        
Win32.Troj.Autorun.al.124567
        0.798
飞塔         2.81-3.11         9.0         2008-04-21        
W32/AutoRun.GQ
        2.023

碧血冰心

用沙盘看了一下，
在C盘的program files\Common files\Microsoft Shared\有这个文件Xlpesfv.exe
在各盘下会出这个
autorun.inf    GUJVYKH.EXE



微点报出的文件
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DU\DU\XLPESFV.EXE
木马程序生成以下文件:
1) D:\TEST\TEST\DRIVE\C\PROGRAM FILES\COMMON FILES\SYSTEM\UKFXTQT.EXE
2) D:\TEST\TEST\DRIVE\C\PROGRAM FILES\MEEX.EXE
3) D:\TEST\TEST\DRIVE\E\GUJVYKH.EXE
4) D:\TEST\TEST\DRIVE\C\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\XLPESFV.EXE

solcroft

[Found possible virus]         <W32/Threat-HLLPEM-based!Maximus (not disinfectable)>        C:\Documents and Settings\Admin\Desktop\du.rar->du\UKFXTQT.EXE->(PE-Armor)
[Found possible virus]         <W32/Threat-HLLPEM-based!Maximus (not disinfectable)>        C:\Documents and Settings\Admin\Desktop\du.rar->du\xlpesfv.exe->(PE-Armor)

残缺的唯美

D:\Documents and Settings\EKINCHENG\桌面\du.rar » RAR » du\UKFXTQT.EXE - Win32/AutoRun.BE worm
D:\Documents and Settings\EKINCHENG\桌面\du.rar » RAR » du\xlpesfv.exe - Win32/AutoRun.BE worm

wangjay1980

K

fireworld

看文件名似乎是老病毒  ^_^