这个是不是新出的病毒啊，很厉害啊

不二十三

病毒文件是gril.pif
我朋友办公室电脑一堆机子中招，并且GHOS系统后第二天又中了，已经将可疑文件全部干掉，很是奇怪这毒这么历害。是不是只要一中，仍然会记住IP进行第二次攻击。

提供样本供牛人分析啊～～

注意里面的那个文件不要点，是病毒哈！

ps：
中毒者症状：
      在每个盘下面有AUTORUN.inf文件和GRIL文件，其中AUTO文件内容如下：[AutoRun]shell\open=打开(&O)shell\open\Command=GRIL.PIFshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\command=GRIL.PIF
GRIL：图标显示是MS-DOS快捷方式。中毒后瑞星防火墙退出，卡卡自动退出。程序无法再运行

反病毒引擎;版本;最后更新;扫描结果：

a-squared;4.0.0.101;2009.04.12;Rootkit.Win32.Small!IK
AntiVir;7.9.0.138;2009.04.11;TR/Crypt.XDR.Gen
Authentium;5.1.2.4;2009.04.11;W32/Rootkit-PX!Eldorado
Avast;4.8.1335.0;2009.04.11;Win32:Rootkit-gen
AVG;8.5.0.285;2009.04.11;Killav
BitDefender;7.2;2009.04.12;Gen:Trojan.Heur.1024456363
CAT-QuickHeal;10.00;2009.04.10;(Suspicious) - DNAScan
ClamAV;0.94.1;2009.04.10;PUA.Packed.NPack-3
eSafe;7.0.17.0;2009.04.07;Suspicious File
eTrust-Vet;31.6.6450;2009.04.11;Win32/SybuexA!generic
F-Prot;4.4.4.56;2009.04.11;W32/Rootkit-PX!Eldorado
F-Secure;8.0.14470.0;2009.04.11;W32/Packed_NSPack.B
Fortinet;3.117.0.0;2009.04.11;PossibleThreat
GData;19;2009.04.12;Gen:Trojan.Heur.1024456363
Ikarus;T3.1.1.49.0;2009.04.12;Rootkit.Win32.Small
K7AntiVirus;7.10.700;2009.04.11;Trojan.Win32.Malware.1
McAfee;5581;2009.04.11;Generic.dx
McAfee+Artemis;5581;2009.04.11;Generic.dx
McAfee-GW-Edition;6.7.6;2009.04.11;Trojan.Crypt.XDR.Gen
Microsoft;1.4502;2009.04.11;Worm:Win32/SillyShareCopy.gen
NOD32;4002;2009.04.11;probably a variant of Win32/Genetik
Norman;6.00.06;2009.04.09;W32/Atraps.GPV
Panda;10.0.0.14;2009.04.11;Generic Malware
Prevx1;V2;2009.04.12;High Risk Cloaked Malware
Rising;21.24.52.00;2009.04.11;Worm.Win32.Autorun.fks
Sophos;4.40.0;2009.04.12;Mal/Behav-156
Sunbelt;3.2.1858.2;2009.04.11;Gen-Trojan.Heur
Symantec;1.4.4.12;2009.04.12;Trojan.KillAV
TrendMicro;8.700.0.1004;2009.04.10;WORM_AUTORUN.EFN
VBA32;3.12.10.2;2009.04.12;Trojan.Win32.AntiAV.avz

附加信息
File size: 27764 bytes
MD5...: 2ac6b143e1039cdb02acd63a8637da97
SHA1..: 48f765f975b210cd92278517918457704029f013
SHA256: 3cd246609d5091f5cc689a083e5ff8b66aafa1a41307180641fa4b18411993de
SHA512:3308bd86944aa712f61bb39a6f565b9a41a774b0321039f1febf185daa4cf30b<BR>743f9df8ae2313cea79ada2c5fade606d948ecee12f4ceb36d20fd753a936f13
ssdeep: 384:xIkG+Ae+/0jHs1lWkGFRuIsUaBLEucudK5A6F4flBIaouLzYQO7ih3FkoGYK<BR>n:xI0xDcWPgzpd85Kdei/J+<BR>
PEiD..: -
TrID..: File type identification<BR>ZIP compressed archive (100.0%)
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX
packers (Authentium): UPX
packers (F-Prot): UPX

[ 本帖最后由 不二十三 于 2009-4-11 18:33 编辑 ]

王子带着刀

特洛伊木马 含

黑衣~魂

DW
GRIL.PIF/data001\data002;D:\Documents and Settings\Administrator\桌面\gril.rar/gril\GRIL.PIF/data001;Trojan.KillProc.1565;;
data001;D:\Documents and Settings\Administrator\桌面\gril.rar/gril;Container contains infected objects;;
gril\GRIL.PIF;D:\Documents and Settings\Administrator\桌面\gril.rar/gril;Container contains infected objects;;
gril.rar;D:\Documents and Settings\Administrator\桌面;Archive contains infected objects;;

SUZAKU

C:\Documents and Settings\Try\桌面\gril.rar > RAR > gril\GRIL.PIF - 可能是 Win32/Genetik 特洛伊木马 的变种

asinasina

红伞报了
这个autorun。。不能用右键打开，包括资源管理器

The EQs

KillAV+Autorun
Ultra String Reference Plugin
Address    Disassembly                               Text String
13141097   push    1314D588                          dllSeDebugPrivilege
131410BF   push    1314D580                          Rkdll
13141100   push    1314D58C                          SeDebugPrivilege
13141177   push    1314D65C                          C:\Hooksys.dll
13141196   push    1314D65C                          C:\Hooksys.dll
131411A0   push    1314D650                          CCenter.exeC:\Hooksys.dll
131411DD   mov     edi, 1314D640                     \Fonts\FONT.VBSCCenter.exeC:\Hooksys.dll
131411F1   push    1314D63C                          w+
13141224   push    1314D608                          Set wshshell=wscript.CreateObject("WScript.Shell")\nw+
1314122F   push    1314D5D8                          wshshell.run "rundll32 C:\Hooksys.dll,RSDK",0
13141252   push    1314D5CC                          cscript.exewshshell.run "rundll32 C:\Hooksys.dll,RSDK",0
13141257   push    1314D5C4                          open
13141285   push    1314D5B0                          C:\Hooksys.dll,RSDKopen
1314128A   push    1314D5A0                          rundll32.exe
1314128F   push    1314D5C4                          open
13141324   mov     edi, 1314D684                     \linkinfo.dll
13141352   mov     edi, 1314D66C                     \dllcache\linkinfo.dll
131413C5   push    1314D63C                          w+
131413DA   push    1314D718                          [AutoRun]\r\nGRIL.PIF
131413EA   push    1314D700                          shell\open=打开(&O)\r\n
131413F6   push    1314D6E8                          shell\open\Command=%s\r\nshell\open=打开(&O)\r\n
13141402   push    1314D6D0                          shell\open\Default=1\r\n
1314140E   push    1314D6B0                          shell\explore=资源管理器(&X)\r\n
1314141A   push    1314D694                          shell\explore\command=%s\r\n
1314144B   push    1314D5C4                          open
13141488   push    1314D740                          %c:\GRIL.PIF
1314149B   push    1314D730                          %c:\AUTORUN.INF%c:\GRIL.PIF
131414AB   push    1314D724                          GRIL.PIF
13141570   sub     esp, 220                          (Initial CPU selection)
1314157A   push    1314D790                          0
1314157F   push    1314D788                          SSS1
131415BC   push    1314D77C                          AUTORUN.INFSSS1
1314163B   push    1314D76C                          AS21a669aSSE
1314166F   push    1314D754                          cmd /c sc delete avp
131416AA   push    1314D65C                          C:\Hooksys.dll
13141A99   push    1314D794                          lfdl
13141AF4   push    1314D7A4                          1
13141AF9   push    1314D790                          0
13141B07   push    1314D79C                          smstss
13141B6E   mov     edi, 1314D7B8                     \fonts\lfdl.sys\\.\NEWYEARG
13141BBF   push    1314D7A8                          \\.\NEWYEARK
13141C6D   mov     edi, 1314D7D8                     \fonts\smstss.sys
13141CA4   mov     edi, 1314D684                     \linkinfo.dll
13141D14   push    1314D7C8                          \\.\NEWYEARG
13141F70   push    1314D7EC                          nsg\\.\KKAV
13141FD9   mov     edi, 1314D834                     \Fonts\nsg.fon
13142021   push    1314D828                          360tray.exe\Fonts\nsg.fon
1314202B   push    1314D81C                          360Safe.exe360tray.exe\Fonts\nsg.fon
13142039   push    1314D80C                          safeboxTray.exe360Safe.exe360tray.exe\Fonts\nsg.fon
13142047   push    1314D7FC                          360safebox.exe
1314206B   push    1314D7F0                          \\.\KKAV
13142154   push    1314D878                          SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
131421A8   push    1314D870                          Path
13142220   mov     edi, 1314D864                     \safemon
1314224B   mov     edi, 1314D858                     \monsafe
13142279   mov     edi, 1314D844                     \safemon\usp10.dll
131422F7   push    1314D828                          360tray.exe\Fonts\nsg.fon

hddu

2009-04-12 13:59:14    修改文件      操作:阻止并结束进程
进程路径:E:\gril\gril\GRIL.PIF
文件路径:(隐藏文件>E:\gril\gril\GRIL.PIF
触发规则:所有程序规则->全局设置_可执行文件1->*.pif

wsmurderer

一大堆映像劫持

kkgh

费尔  Worm.Autorun.fks.nnmz

jmlovefj

啥年代了 还发DOS病毒？我的天，你行不行啊