毒王磁碟机的自我保护文件NetApi000.sys和各盘符下的传播文件pagefile.pif

显示全部楼层 · 发表于 2008-5-8 16:56:49

今天终于捕获到啦！

磁碟机新变种会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。如果没有NetApi000.sys的话，磁碟机也就失去了自我保护的能力，也就到不了毒王的称号了！至于pagefile.pif就是起到了自动传播作用为目的的！下面就介绍介绍磁碟机新变种的传播文件pagefile.pif吧

pagefile.pif新变种很强的病毒
希望有能想出更好的方法的人
不知之处还望指点
卡巴斯基 Virus.Win32.Xorer.dd
瑞星 Worm.Win32.DiskGen.ci

感染非系统区的EXE和网页文件

每个盘生成
pagefile.pif和Autorun.inf

Autorun.inf的内容是：

[AutoRun]
open=pagefile.pif
shell\open=打开(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pagefile.pif

显示全部楼层 · 发表于 2008-5-8 16:58:17

C:\Documents and Settings\Don Johnson\桌面\Worm.Win32.DiskGen.rar » RAR » 新建文件夹\pagefile.pif - a variant of Win32/Xorer virus

显示全部楼层 · 发表于 2008-5-8 17:00:00

E:\Virus Test\Worm.Win32.DiskGen.rar
  [0] Archive type: RAR
发  --> ￐ￂﾽﾨￎￄﾼ?ﾼ￐\NetApi000.sys
   [DETECTION] Contains detection pattern of the rootkit RKIT/Xorer.A.11
表帖子[完  --> ￐ￂﾽﾨￎￄﾼ?ﾼ￐\pagefile.pif
   [DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen
   [NOTE]    The file was deleted!

显示全部楼层 · 发表于 2008-5-8 17:01:45

这个不是最新的磁碟机。。。。。。。

显示全部楼层 · 发表于 2008-5-8 17:01:48

Starting the file scan:

Begin scan in 'E:\AV\新建文件夹\Worm.Win32.DiskGen.rar'
E:\AV\新建文件夹\Worm.Win32.DiskGen.rar
  [0] Archive type: RAR
发  --> ￐ￂﾽﾨￎￄﾼ?ﾼ￐\NetApi000.sys
   [DETECTION] Contains detection pattern of the rootkit RKIT/Xorer.A.11
表帖子[完  --> ￐ￂﾽﾨￎￄﾼ?ﾼ￐\pagefile.pif
   [DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen
   [NOTE]    The file was deleted!

显示全部楼层 · 发表于 2008-5-8 18:23:19

在 C:\Documents and Settings\Administrator\桌面\Worm.Win32.DiskGen.rar->新建文件夹\NetApi000.sys 中发现 Rootkit.Agent.cu 病毒, 已删除
在 C:\Documents and Settings\Administrator\桌面\Worm.Win32.DiskGen.rar->新建文件夹\pagefile.pif 中发现 Win32/Kdcyy.az 病毒, 已删除

显示全部楼层 · 发表于 2008-5-8 19:52:36

诺顿报了

检测到的安全风险总数: 1
已解决的项目总数: 0
需要注意的项目总数: 1
已解决的风险:

未解决的风险:
W32.Pagipef.I
病毒 ID: 17596
类型: 已压缩
风险: 高 (高隐蔽性，高清除可能，高性能，高隐私)
类别: 病毒
状态: 删除失败
-----------
1 文件
[pagefile.pif] 位于[e:\新建文件夹bingdu\worm.win32.diskgen.rar] - 已感染

显示全部楼层 · 发表于 2008-5-8 19:58:46

ACCESS DENIEDThe requested URL could not be retrievedWhile trying to retrieve the URL: http://bbs.kafan.cn/attachment.php?aid=259777&k=dd2d67b3d92bec992421a8c684b57503&t=1210247881
The folowing error was encountered:

The requested object is INFECTED. The following viruses Virus.Win32.Xorer.dv were found

Please contact your service provider if you feel this is incorrect.

Generated Thu May 08 19:58:17 2008 by Kaspersky Anti-Virus 7.0

显示全部楼层 · 发表于 2008-5-8 20:04:19

McAfee pagefile.pif Generic.dx

显示全部楼层 · 发表于 2008-5-8 20:14:32

怎么又在考古

[病毒样本] 毒王磁碟机的自我保护文件NetApi000.sys和各盘符下的传播文件pagefile.pif

本帖子中包含更多资源