红伞C版没反映，P版可以的U盘病毒

147048697

这几天同学们中了同样的病毒，都是421KB,在U盘伪装成文件夹，目前发现有不下10个同学中过，手机里，U盘里导出泛滥（男女均有）

后来经过询问，发现：

中毒的同学都在某老师那里拷一些资料被传染了这个病毒，或者是再去同学那里拷贝中的！  -_-!

他们的红伞C版都没有任何反映，于是留了一份回来

今天我发现自己用的P版扫描会提醒病毒，C版的扫描无法发现！

——————————————————————————————————————————————

这几天忙活的那个爽呐，天天杀这个毒去了

用Wsyscheck禁止任何进程和文件创建后，插上U盘会发现进程ID为红伞的ID进程在作死的往U盘里面创建“文件夹名.EXE”的文件

于是知道C版红伞挂了，经过一番手动杀毒，终于做掉了……



该病毒会创建一个C:windows\system\web.dat的文件，同时感染了病毒的进程会不停的复制web.dat到U盘里面为“文件夹名.EXE”

处理方法：用Wsyscheck禁止任何进程和文件创建后，创建一个web.dat的文件夹废掉这个文件，然后全局卸载一个叫no*.dll（忘记名字了）的模块，如果红伞里面也有（是否可以理解红伞被病毒挂掉了？）

另：貌似还有其他模块，要测试的朋友注意，有装EQ，并且用大将军规则的，在普通模式下可以随便运行

由于今天才发觉红伞C版无法干掉它，而病毒都被我做掉了，所以Wsyscheck日志无法提供，病毒还是在红伞的隔离区里面掏出来的


PS：看来红伞越来越受病毒制作者的关注了，其他常用软件的进程都不注入，偏偏在explorer.exe等系统和红伞的进程中注入模块

声明，我是C版扫描以后，再用P版扫描，然后再C版扫描…………

其实不止3遍，我还在好几个同学的机器上都扫过了，几乎同一时间

建议大家最好用P版的红伞





[ 本帖最后由 147048697 于 2009-3-21 10:34 编辑 ]

fzz8848

[ 本帖最后由 fzz8848 于 2008-12-29 14:22 编辑 ]

linjw

Begin scan in 'D:\病毒.rar'
D:\病毒.rar
    [0] Archive type: RAR
    --> ﾲﾡﾶﾾ.exe
      [DETECTION] Contains recognition pattern of the ADSPY/Agent.hyz adware or spyware
    [NOTE]      A backup was created as '4986d7cd.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!
这病毒是广告或者间谍，而C版恰恰不杀广告和间谍，P版比C版多杀了广告和间谍，所以C版才没反应，P版则杀了病毒

[ 本帖最后由 linjw 于 2008-12-29 14:23 编辑 ]

147048697

原帖由 fzz8848 于 2008-12-29 14:19 发表
不要在非样本区发布病毒样本
Begin scan in 'E:\Download\Virus\病毒.rar'
E:\Download\Virus\病毒.rar
    [0] Archive type: RAR
    --> ﾲﾡﾶﾾ.exe
      [DETECTION] Co ...

只是让用伞的朋友注意一下而已…………特别是C版的

wrq

Kaspersky Lab
拒绝访问
无法返回请求的网页

试图访问的网页：

http://bbs.kafan.cn/attachment.php?aid=
429803&k=d7ae1c2e45d25ba099bf0a884b7e3cd
5&t=1230531741

发生下列错误：

请求的对象被感染，发现下列病毒 not-a-virus:AdWare.Win32.Agent.hyz


如有疑问，请联系您的技术支持
创建日期：
Mon Dec 29 14:22:51 2008
Kaspersky Lab

ssmart

nod32
G:\病毒.rar > RAR > 病毒.exe - Win32/Adware.Agent.NKI 应用程序

驭龙

我的 F-Secure Client Security 8.0还不错报了

yueming9712

看来还是换 P版好些！◎◎！

嗜血独狼

C版只有基本功能，可以理解

nostones

病毒都出专杀了