|
|
我们公司11月份爆发的威金病毒带的是一种叫UPack的壳,,最早能杀毒的是瑞星,仅接着是金山,卡巴总是要删除,许多可执行文件都感染了,都删除岂不废了.
我同事昨天又碰到一个病毒,该病毒同样感染大量可执行文件,D:E:F:盘的可执行文件都被感染,不能运行了,目前金山能查但不能杀,只是使文件禁用,卡巴现在连查也查不出.我只好自己研究病毒的行为,做了一个修复工具,因为染毒文件最后多个5个字母,叫"Bills",我姑且称这种病毒为"Bills"病毒,金山报为Win32.MyGod.ab.281825,
经我跟踪病毒行为,我发现该病毒的行为如下:
1.在Windows目录中增加一个病毒文件Logo1_.exe,并运行conime.exe,可能通过Hook键盘输入窃取用户信息.
2.将除C:盘外的所有分区中的可执行文件感染: 在每个感染的文件前面加上19806字节的病毒体外壳(nsPack),并在文件最后加上"Bills"字样标记.
3.将除C:盘外的所有分区中增加Autorun.inf,造成用户打开分区时病毒被运行,该病毒并不修改注册表.
Autorun.inf文件的内容:
[AutoRun]
OPEN=pif.exe
shellexecute=pif.exe
shell\打开(&O)\command=pif.exe
今天费了近一天时间做了个修复工具,我的修复工具将修复"Bills"病毒所做的破坏行为. 送给遇此难的朋友救急
附:病毒样本文件pif.exe(我测试时,在D:\E:\...运行必然有上述破坏行为),我的修复工具BillsKiller.exe
刚升级了卡巴307的病毒库,终于卡巴能识别该病毒了,但是还是要删除!为什么不修复染毒文件呢?!查出来对已感染病毒的用户有什么用呢?!
附BillsKiller的源码(VC6),给需要的朋友,对该病毒的变种,稍改改也应该能用.
2007年1月17日后续……
金山毒霸2007 1月16日的更新已经能够清除该病毒,但卡巴斯基刚升级的病毒库还是不能清该病毒,这次卡巴又落后了,我已经碰到3个金山能清而卡巴不能清的病毒了,反之却一个也没碰到,这3个病毒是:
Trojan.DL.Slime.ck
Worm.Viking.ag即维金
Virus.Win32.Delf.aq即上面这个
可能这就是国产杀软对付国产病毒的具有优势吧.
[ 本帖最后由 cooker 于 2007-1-17 22:27 编辑 ] |
|
发表于 2007-1-13 21:44:26
我就喜欢你这种牛人。。。。呵呵
发表于 2007-1-14 02:59:16
