Virus.Win32.Delf.aq 自制的专杀工具

显示全部楼层 · 发表于 2007-1-13 23:36:06

我同事感染了Virus.Win32.Delf.aq,卡巴今天刚查出来的,但是暂时不能修复染毒文件,而他大量的文件被感染了,我今天做了一个小工具用于修复染毒文件,送给需要的朋友.
因为这个病毒感染文件后会在文件最后加上"Bills"标记,我姑且称其为"Bills"病毒,所以修复工具的名字叫做BillsKiller

[ 本帖最后由 cooker 于 2007-1-15 21:26 编辑 ]

显示全部楼层 · 发表于 2007-1-14 00:51:18

谢谢楼主

显示全部楼层 · 发表于 2007-1-14 01:03:18

感谢楼主，前几天刚中，还没理它呢

显示全部楼层 · 发表于 2007-1-14 01:05:37

呵呵，楼主是强人～～

显示全部楼层 · 发表于 2007-1-14 09:13:37

非常感谢楼主我也深受其害，虽然卡巴汇报我的病毒名称也是Virus.Win32.Delf.aq，但是生成的是一个go.exe文件，也是所有可执行文件统统被感染，卡巴目前只能删除无法修复。

楼主能否帮忙做一个go.exe文件的修复工具呢？

病毒特征转载：
运行样本..
释放文件
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\SYSTEM32.dat

每个盘根目录下生成
X:\go.exe
X:\autorun.inf

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

最恶心的部分介绍下..
logo_1.exe 运行后调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\system\SYSTEM32.vxd.dat
X为某个盘..
运行命令后感染X盘里的所有 .exe 文件...
感染后还会释放一个同名文件后辍为 .exe.tmp

system volume information
recycled
这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat

如果中毒的电脑打开我的电脑时.. logo_1.exe 会连网下载⒏个木马程序..
分别为:
C:\WINDOWS\system\jwm.exe
C:\WINDOWS\system\mhh.exe
C:\WINDOWS\system\ztd.exe
C:\WINDOWS\system\mir.exe
C:\WINDOWS\system\wo3.exe
C:\WINDOWS\system\ienet.exe
C:\WINDOWS\system\wol.exe
C:\WINDOWS\system\wll.exe

被感染的文件..头部写入: 19,738 字节尾部写入:5 字节

地址=00407F80
反汇编=MOV EDX,2_.0040847C
文本字串=瑞星卡巴金山诺盾爱老虎油！！！！！！

楼主是否需要我放上一个被感染的病毒程序详细分析？谢谢！

显示全部楼层 · 发表于 2007-1-14 09:19:37

前天晚上已经将此病毒提交给卡巴斯基的病毒库了，今天早上发来回信告诉我已经在今天的升级中加入了病毒感染文件的清除修复功能，刚才测试了下，的确是可以修复了，开心ing～～

> Attachment: virus.rar

>  >  i found a new virus in my computer, and it infect all my ".exe" file, and all the "exe" files don't work.
>  >
>  >  my antivirus software is kaspersky internet security (ver6.0.1.411 with the updata 2007.1.13), it can be detective the virus and the infected files, but the "KIS" solution is delete all my infected files....:(
>  >
>  >  all the files is very important to my work, please help me ~(Don't delete them...just repair them... thx)
>  >
>  >  in the zip is one of my infected exe files, the zip code is "fix".
>  >
>  >  thx~-i
>

回信：

Hello, repair procedure will be added to the next update.

--
Best regards, Shvetsov Dmitry
Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

已经测试KIS 6.0.1.411 病毒库2007.1.14 可以修复！！哦也～～～～～

[ 本帖最后由 crazycallus 于 2007-1-14 09:20 编辑 ]

显示全部楼层 · 发表于 2007-1-14 10:40:11

强，狂顶！

显示全部楼层 · 发表于 2007-1-14 11:01:56

这个病毒应该是同一种病毒的变种,只是换了个壳或稍微做了点修改而已,因为壳很多,而且有一些是中国人写的,不能期望卡巴对每一种壳都快速响应,如果碰到卡巴解不了的毒就将染毒样本发给卡巴求助,还是很省事的方法.
自己做小程序只能解燃眉之急,而且很费事,我也是一时兴起做了这个解毒小工具,我将我的BillsKiller源码给5楼,你感兴趣的话自己改改,应该能适用于感染你的病毒变种.

[ 本帖最后由 cooker 于 2007-1-15 21:19 编辑 ]

显示全部楼层 · 发表于 2007-1-14 21:13:02

高手！向高手致敬！

显示全部楼层 · 发表于 2007-1-15 00:33:49

学习了，我今天刚种的，清不了让我给删了，问下楼主删会有什么负面影响吗？

Virus.Win32.Delf.aq 自制的专杀工具

回复 #5 crazycallus 的帖子