一种新的u盘文件夹病毒！！！

hover421

？？？？？？？
怎么跟微点拦截的不一样，eq似乎拦了很多啊

walkman660

呵呵 我的也是在虚拟机里用EQ的隔离区测试的，开启虚拟机没有运行任何其他程序，10分钟以后才运行病毒开始测试的。winweb.exe是最后才创建的文件，这之前检测到的已经添加了3个驱动了
还没检测到病毒有添加注册表的行为

walkman660

EQ用我自己修改后的将军安静规则拦截的多了3个
我把将军规则里关于RUNDLL32.EXE的保护修改了，由于前段时间发现有病毒直接注入RUNDELL32.EXE，所以我把RUNDLL32.EXE的规则修改严了很多.
这个病毒应该也是通过RUNDLL32.EXE添加了驱动

des

driver那个虚拟机运行了 就是在system32下建了4个文件 修改了下注册表 运行winweb.exe也没什么异常啊
就是样子看起来像是文件夹病毒 呵呵

[ 本帖最后由 des 于 2008-12-7 15:05 编辑 ]

aaabccc

使用EQ（个人修改后的大将军安静规则）

如使用12.4以前
建议更换最新的规则现已修正了不少问题。


此病毒插入 explorer.exe

[ 本帖最后由 aaabccc 于 2008-12-7 15:06 编辑 ]

niels

两个样本的MD5一样的，就测试了下Driver.exe
首先Driver.exe在C:\WINDOWS\system32\创建写入
web.dat ， winweb.exe，webad.dll，iconhandle.dll
然后Driver.exe加载Webad.dll和iconhandle.dll
然后注册表修改文件关联[HKCR\txtfile\shellEx\IconHandler\]
到这一步被我禁止掉结束进程了。嘿嘿，结束后，bb被拦要加载Webad.dll，生气了，手动清除
生成物见附件，其中winweb.exe的MD5和Driver.exe是一样的-_-!!

su-tt

多谢提供生成物，刚把iconhandle.dll解决掉

lhengw

原帖由 des 于 2008-12-7 15:03 发表
driver那个虚拟机运行了 就是在system32下建了4个文件 修改了下注册表 运行winweb.exe也没什么异常啊
就是样子看起来像是文件夹病毒 呵呵

原帖由 niels 于 2008-12-7 15:14 发表
两个样本的MD5一样的，就测试了下Driver.exe
首先Driver.exe在C:\WINDOWS\system32\创建写入
web.dat ， winweb.exe，webad.dll，iconhandle.dll
然后Driver.exe加载Webad.dll和iconhandle.dll
然后注册表修改文 ...

感谢各位高手指教，在PE下删除C:\WINDOWS\system32\中的四个文件后就可以解决问题了！！
只是第一次重启后，txt文档图标还没还原，不知道这个文件关联的问题怎么解决？是不是把
[HKEY_CLASSES_ROOT\txtfile\shellEx\IconHandler]
@="{AEFA7E78-CF7E-4550-829F-2C786A0070BF}"给删掉就行了？？？
谢谢大家！！！

[ 本帖最后由 lhengw 于 2008-12-7 15:41 编辑 ]

niels

原帖由 lhengw 于 2008-12-7 15:34 发表


感谢各位高手指教，在PE下删除C:\WINDOWS\system32\中的四个文件后就可以解决问题了！！
只是第一次重启后，txt文档图标还没还原，不知道是否还有文件关联的问题！
谢谢大家！！！

用SREngLdr修复文件关联

lhengw

感谢柴子！！
经过实验把[HKEY_CLASSES_ROOT\txtfile\shellEx\IconHandler]
@="{AEFA7E78-CF7E-4550-829F-2C786A0070BF}"给删掉就行了