恶心莲蓬下载器的三个变种

youba

这个病毒是一个木马下载器的变种。它在系统中运行起来后，会释放出数量惊人的病毒文件，这些病毒文件都集中在系统盘中，其中大部分位于%windows%\system32\目录下。如果用户看到那长长的文件列表，并饱尝该毒的伤害，会觉得像看了近来网上流行的“莲蓬图”一般恶心。

在释放文件的同时，病毒会感染硬盘中全部的的.exe、.htm、html文件，并删除%windows%\system32\目录下的系统补丁文件verclsid.exe，让自己接下来的破坏更顺利。接着，病毒替换掉%windows%目录下的系统桌面进程explorer.exe。

在病毒释放出的若干文件中，%windows%\system32\目录下的75132.dat和%windows%\system32\目录下的urjuujdw.hew，值得注意。这两个进程相互配合，指挥%windows%\system32\目录下的msosdohs00.dll和%windows%\system32\目录下的msosdohs01.dll插入系统核心进程、explorer.exe进程以及包括安全软件在内的所有应用程序进程。执行破坏还原保护、关闭防火墙、破坏系统监视软件、阻止用户进入桌面、安装恶意插件等动作。

最后，病毒链接病毒作者指定的远程地址，下载27个病毒文件。其中包括由0至25的数字命名的exe文件，以及一个名为oko.exe的文件。经毒霸反病毒工程师的分析，这些文件都是盗号木马，如果成功进入电脑，将引起无法估计的更大损失。

此外，病毒还在硬盘各个分区的根目录下生成AUTO病毒MSDOS.BAT和autorun.inf，当用户在中毒电脑上使用移动存储设备时，就传染上去，实现更大规模的传播。如果用户运行MSDOS.BAT，病毒就会悄悄访问病毒作者指定的地址[url=http://58.*3.1*8.37]http://58.*3.1*8.37[/url]，下载大量病毒。

无尽藏海

扫描统计:
扫描时间: 1秒
扫描选项:
扫描目标: F:\VIRUS\恶心莲蓬下载器3个变种.rar
  计数:
扫描的项目总数: 4
- 文件和目录: 4
- 注册表项: 0
- 进程和启动项: 0
- 网络和浏览器项目: 0
- 其他: 0

检测到的安全风险总数: 3
已解决的项目总数: 0
需要注意的项目总数: 3

已解决的风险:


未解决的风险:
W32.SillyFDC
病毒 ID: 35916
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除可能，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[200805-0996.exe] 位于[f:\virus\恶心莲蓬下载器3个变种.rar] - 已感染


W32.Dotex.CA
病毒 ID: 7417
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除可能，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[200805-1002.exe] 位于[f:\virus\恶心莲蓬下载器3个变种.rar] - 已感染


W32.SillyDC
病毒 ID: 11498
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除可能，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[200805-1003.exe] 位于[f:\virus\恶心莲蓬下载器3个变种.rar] - 已感染

Tynox

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:         http://bbs.kafan.cn/attachment.p ... 17&t=1218353714
Information:         Contains recognition pattern of the WORM/Autorun.73728 worm

Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.19, VDF 7.0.5.235

woai_jolin

正在扫描日志
病毒库版本: 3343 (20080810)
日期: 2008-8-10  时间: 15:35:43
已扫描的磁盘、文件夹和文件: G:\v\恶心莲蓬下载器3个变种.rar
G:\v\恶心莲蓬下载器3个变种.rar > RAR > 200805-0996.exe - Win32/AutoRun.ARX 蠕虫 的变种 - 是已删除对象的一部分
G:\v\恶心莲蓬下载器3个变种.rar > RAR > 200805-1002.exe - Win32/Delf.NDF 蠕虫 - 是已删除对象的一部分
G:\v\恶心莲蓬下载器3个变种.rar > RAR > 200805-1003.exe - Win32/AutoRun.NAD 病毒 的变种 - 是已删除对象的一部分
已扫描的对象数: 3
发现的威胁数: 3
已清除对象数:3
完成时间: 15:35:43  总扫描时间: 0 秒 (00:00:00)

twtpy93123

ESS全部干掉

Palkia

C:\Documents and Settings\Administrator\桌面\恶心莲蓬下载器3个变种.rar>>200805-0996.exe        Worm.AutoRun.djf.udtn        病毒        还未处理
C:\Documents and Settings\Administrator\桌面\恶心莲蓬下载器3个变种.rar>>200805-1002.exe        Worm.AutoRun.cyj.zcrv        病毒        还未处理
C:\Documents and Settings\Administrator\桌面\恶心莲蓬下载器3个变种.rar>>200805-1003.exe        TrojanDownloader.Delf.gzs.hwud        木马        还未处理

hj5abc

antivir

The file 'H:\200805-1003.exe'
contained a virus or unwanted program 'WORM/Otwycal.I' [worm]
Action(s) taken:The file was deleted!

The file 'H:\200805-1002.exe'
contained a virus or unwanted program 'WORM/Autorun.cyj' [worm]
Action(s) taken:The file was deleted!

The file 'H:\200805-0996.exe'
contained a virus or unwanted program 'WORM/Autorun.73728' [worm]
Action(s) taken:The file was deleted!

尤金卡巴斯基

2008/8/10 17:01:10        已清除        病毒 Worm.Win32.AutoRun.djf        G:\Temp\Virus\恶心莲蓬下载器3个变种.rar/200805-0996.exe               
2008/8/10 17:01:10        已清除        病毒 Worm.Win32.AutoRun.cyj        G:\Temp\Virus\恶心莲蓬下载器3个变种.rar/200805-1002.exe//FSG               
2008/8/10 17:01:10        已清除        木马程序 Trojan-Downloader.Win32.Delf.gzs        G:\Temp\Virus\恶心莲蓬下载器3个变种.rar               
2008/8/10 17:01:10        已清除        木马程序 Trojan-Downloader.Win32.Delf.gzs        G:\Temp\Virus\恶心莲蓬下载器3个变种.rar/200805-1003.exe//PE_Patch//UPack

Nerazzurri

200805-0996.exe   Win32:AutoRun-JW
200805-1002.exe   Win32:QQRob-AS [Trj]
200805-1003.exe   Win32:Otwycal-AJ [Wrm]

granthill

avast!
Win32:AutoRun-JW