exe.tmp.tmp

dddirsaya

错，断开网它会生成exe.tmp 连上网还会弹网页，它两头都兼顾啊，反正这就是一个毒啊！
我每次GHOST还发现他的修改日期都会变 比如我刚才GHOST被感染的文件修改日期就变为2009年3月24日 19.14
所有被感染的都是，一次性全修改，连秒都对上了

qianwenxiang

大概是用病毒自己覆盖了被感染文件前7000h字节，然后在被感染文件的[原大小]+1起附带追加了18个自身，这样的话无法修复了(srdriver.exe)。

图标模糊是因为病毒会先提取被感染文件图标，覆盖完毕后会自动替换感染完文件的图标导致的。

粗略判断是否感染的话 可以试着检查文件下列位置的数据是否如下
0x1308 = 26 3d
0x3e55 = e8 76 00 00 00
0x3ed0 = ff 74 24 10

还要检查c:\根目录是否有随机名，大小69kb左右的文件以及windows目录下，program files\、program files\【随机名】目录下69kb左右的文件

ximo

原帖由 qianwenxiang 于 2009-3-24 19:41 发表
大概是用病毒自己覆盖了被感染文件前7000h字节，然后在被感染文件的[原大小]+1起附带追加了18个自身，这样的话无法修复了(srdriver.exe)。

图标模糊是因为病毒会先提取被感染文件图标，覆盖完毕后会自动替换感染完 ...

不仅仅是追加而已，如果是追加的话，反而简单很多了。。。

dddirsaya

我用PE打包了E盘下的System Volume Information 我在别的盘的System Volume Information下里面能发现感染程序的副本，具体没看清楚，然后我直接删掉的话进系统后就打不开被感染的了，这个线索很有用吧，我先上传E盘，然后再上传D盘的给大家看下

dddirsaya

http://www.namipan.com/d/System% ... c6e083903b376bf4900

E盘的上传好了，这个就是卡巴刚才一直报的，我再去PE把别的盘的也给传上来

qianwenxiang

病毒自己覆盖了被感染文件前7000h字节，

还有覆盖

ximo

原帖由 qianwenxiang 于 2009-3-24 20:11 发表

还有覆盖

PE头的确是被覆盖了（头2个字节需要处理），这个也好修复，后面也的确只是简单的追加，这个也同样好修复，中间的大部分代码也同样有，可是还有1部分找不到。可能被加密了或者被覆盖掉了。可以看下我传的2个文件：1个是按照LZ提供的未感染的样本我完全修复的，还有1个是我在没参照那个样本前手动修复的。其中，中间有1部分代码我用00字节替代了，这部分代码就是我无法找到的。你可以研究下具体这部分代码怎么回事了，研究完了，写个文章，让菜鸟我学习下，呵呵

dddirsaya

System Volume Information这个目录下都有被感染程序的副本，我之前上传的三个样本都是这个目录下的，但是由于太大接近120M我就没打包了，其他几个盘都有System Volume Information目录里都有A0000406.ini排序好的文件407.408
打开里面是
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
还有个日志？change.log 里面是
       锿?         \ D e v i c e \ H a r d d i s k V o l u m e 5 \ S y s t e m   V o l u m e   I n f o r m a t i o n \ _ r e s t o r e { 8 7 0 2 9 A F 5 - 3 1 1 1 - 4 A 4 8 - 9 F A 7 - E 2 A E 0 0 8 3 D D F 0 } \ R P 2 \ c h a n g e . l o g        
   锿?         ?                                            \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 1 3 4 3 0 2 4 0 9 1 - 5 7 9 8 9 8 4 1 - 1 4 1 7 0 0 1 3 3 3 - 5 0 0 \ d e s k t o p . i n i   "      A 0 0 0 0 4 0 6 . i n i   
     
?   0       L   
        垭P掩tu箄T?  
        垭P掩tu箄T
   X     $

黑衣~魂

A0000107+A0000109 沒問題

KASPERSKY之所以無法修復是根本沒有virus code
最多只能用啟發報威脅

有相同代碼,都具有惡意
A0000108.exe-TROJAN-Muldrop
A0000095.exe
A0000362.exe
A0000363.exe
A0000364.exe
A0000365.exe
A0000366.exe
A0000367.exe
A0000368.exe
A0000369.exe
A0000370.exe

dddirsaya

原帖由 dddirsaya 于 2009-3-24 20:09 发表
http://www.namipan.com/d/System%20Volume%20Information.rar/7fb84e57b91baee824c672f88ca81c6e083903b376bf4900

E盘的上传好了，这个就是卡巴刚才一直报的，我再去PE把别的盘的也给传上来

还需要样本吗，这个分区有下载的软件，迅雷 BitComet  FileZilla 也都被感染了，而这个System Volume Information目录里都有他被感染后的图标存在