碎骨魔（Win32.VirInstaller.Agent.80896）

显示全部楼层 · 发表于 2008-8-22 12:11:55

　“碎骨魔”（Win32.VirInstaller.Agent.80896），这是一个木马程序。它运行后会修改系统时间和关闭安全工具，以及破坏用户磁盘中的大部分exe文件。它还会破坏系统安全模式，阻挠用户对它进行查杀。
这个木马程序早在去年就已出现，被毒霸列入黑名单。但近来它的变种又活跃起来，且这些变种具有较强的破坏能力。

　　它在进入用户系统后，%WINDOWS%\system32\下释放出三个随机命名的.cpx格式文件，随后便修改注册表，将释放出的文件添加到启动项中，使自己实现开机自启动。同时，它破坏注册表中关于系统安全模式的数据，让用户即便发现系统异常也无法进入安全模式执行手动杀毒。

　　当病毒顺利运行起来，它就篡改被感染计算机上的系统时间，致使一来系统时间进行激活和升级的安全软件失效。并且，它在被感染的计算机上搜索全部与安全相关的软件，一旦发现便强行将其关闭。由于其黑名单中包含了大部分常见的安全相关软件，用户电脑的安全性将大大降低。

　　在运行的后期，病毒的破坏行为变得让人气氛，它会搜索并破坏除系统盘目录以外的全部exe文件，且破坏后很难修复，给受害用户带来无法估计的损失。目前毒霸暂时无法完全修复它给文件带来的破坏，因此广大用户需提高警惕。不过，只要升级毒霸到最新版本，就可以抢先查杀该毒，防患于未然。

显示全部楼层 · 发表于 2008-8-22 12:28:53

Begin scan in 'C:\Documents and Settings\haha\桌面\system32.rar'
C:\Documents and Settings\haha\桌面\system32.rar
[0] Archive type: RAR
--> 1688764661.cpx
   [DETECTION] Contains recognition pattern of the ADSPY/MIDI.A adware or spyware

End of the scan: 2008年8月22日  12:28
Used time: 00:02 Minute(s)

The scan has been done completely.

   0 Scanning directories
   5 Files were scanned
   1 viruses and/or unwanted programs were found
   0 Files were classified as suspicious:
   0 files were deleted
   0 files were repaired
   0 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   4 Files not concerned
   1 Archives were scanned
   0 Warnings
   0 Notes

显示全部楼层 · 发表于 2008-8-22 12:59:33

Win32:Rootkit-gen [Rtk]

显示全部楼层 · 发表于 2008-8-22 13:14:31

过KIS2009扫不出

显示全部楼层 · 发表于 2008-8-22 13:18:51

to lab

显示全部楼层 · 发表于 2008-8-22 14:27:49

RS20.58.40未杀！

显示全部楼层 · 发表于 2008-8-22 14:38:52

卡巴斯基竟然不杀

显示全部楼层 · 发表于 2008-8-22 20:53:41

McAfee miss

显示全部楼层 · 发表于 2008-8-22 23:47:41

好猛的病毒~~~

C:\Documents and Settings\ower\桌面\system32.rar > RAR > 1688764661.cpx - Win32/Agent.NYH 特洛伊木马

显示全部楼层 · 发表于 2008-8-23 01:56:59

MIss,上报

[病毒样本] 碎骨魔（Win32.VirInstaller.Agent.80896）

ArcaVir2008, F-Prot 4.4.4,NVC 5.99

4/0