exe.tmp.tmp

ximo

汗，你传System Volume Information这个目录下的东西有什么用？
这是存放系统还原信息的文件夹。。
算了吧，楼主，面对现实吧，别浪费时间了，全盘格了然后重装系统吧。

凝逸反毒

凝逸反毒 分析
http://hi.baidu.com/503165656
    看了 qianwenxiang ximo 的分析,在看了感染文件(srdriver.exe),
    看到 PE头的 用ff 或2位随机字节,他导出时在改回,有17个本体 可能设计问题,出现多次感染 ,

原版(srdriver.exe),          长度:1993072
感染文件(srdriver.exe),      长度:2615664
-----------分解成--------------
[1]a1.exe  病毒pe           长度:50638
[1]a2.exe  未知pe           长度:1942432
[1]a3.exe  原来exe的部分    长度:65536
[1]a4.exe  ----到尾都一样一的病毒pe           长度:32768
[2]a.exe   
[3]a.exe   
[4]a.exe   
[5]a.exe   
[6]a.exe   
[7]a.exe   
[8]a.exe  
[9]a.exe   
[10]a.exe   
[11]a.exe  
[12]a.exe  
[13]a.exe  
[14]a.exe
[15]a.exe
[16]a.exe  
[17]a.exe   
    大概是用病毒自己覆盖了被感染文件前50638字节，然后在被感染文件的[原大小]+1起附带追加了18个自身，这样的话无法修复了
(srdriver.exe)。
图标模糊是因为病毒会先提取被感染文件图标，覆盖完毕后会自动替换感染完文件的图标导致的。

ximo

原帖由 凝逸反毒 于 2009-3-25 12:32 发表
凝逸反毒 分析
http://hi.baidu.com/503165656
    看了 qianwenxiang ximo 的分析,在看了感染文件(srdriver.exe),
    看到 PE头的 用ff 或2位随机字节,他导出时在改回,有17个本体 可能设计问题,出现多次感染 ,
...

大致上是这样，不过PE头不单单是覆盖，他是先把自身的PE头取出来挪到了自身的最末尾，然后再进行覆盖，然后再在最后追加病毒本体PE信息。
因此，我说大部分信息能找到，而中间的那部分可能由于长度不一致覆盖掉了。
作者设计上的确有点失误，比如单击自身，在本地目录就生成好多文件，这样太过明显，太堂而皇之了，如果设计到在临时目录或不常见的目录下效果更好。
其次，感染后的文件无法运行，这也是个失误。（补充：楼主说他机子上能运行，莫非他把那部分重要信息抽取出来放到了其他目录下？？不懂，也无法证实。。。）
不想再在这个病毒上浪费时间了，就这样吧

凝逸反毒

qianwenxiang ximo 可有兴致加入凝逸反毒 凝逸病毒组  病毒分析志愿者

多一个分析多个思路
银子没有、凝逸反毒key  有些
如在开发出的修复工具上  加上  病毒分析志愿者

328397663

1楼

卡巴答复的.files are corrupted by virus.

ximo

原帖由 328397663 于 2009-3-25 22:02 发表
1楼

卡巴答复的.files are corrupted by virus.

是不是病毒或者说多少杀软能杀掉这个已经没任何意义了，现在的目的是如何修复他。
可惜本人能力有限。。。

黑衣~魂

我再跟DW聯繫看看,給這些廠商做解毒...

KABA更新後應該都可以解毒了

Hello,
A0000095.exe,
A0000108.exe,
A0000363.exe,
A0000365.exe,
A0000367.exe,
A0000368.exe - Virus.Win32.Lamer.f

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Best Regards, NewVirus

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

[ 本帖最后由 黑衣~魂 于 2009-3-25 22:33 编辑 ]

dddirsaya

是吗？可以解毒？
可惜我已经。。。MY GOD 我失去比谁都要多！！！ 卡巴什么时候的回复啊

黑衣~魂

一回覆我就貼了....
通常公佈DAT都能修復,KA8應該沒那麼差
昨天為了確認我只寄KA8+DW
等等每間廠商都發送 至少會有一家可以修復.....

賽門報Downloader 匪夷所思....
http://www.virustotal.com/analis ... 3bda993dd2ebc91da4d

HKLHF

看看啊！