收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 卡巴查到的,百度不到相关资料
12下一页
返回列表 发新帖
查看: 3028|回复: 17
收起左侧

[病毒样本] 卡巴查到的,百度不到相关资料

[复制链接]
any99
发表于 2009-7-28 15:46:39 | 显示全部楼层 |阅读模式
电脑状况:
每次插入U盘,都提示有病毒,但是后来又显示未发现。
每次皆如此,用卡巴扫了下C盘,在system32下查到此文件,重启后杀掉。
然后看每个盘的recycler(此文件夹隐藏,但不知是不是系统文件夹,不是有个recycled吗?本人新手,忘大虾们多指教),文件夹下都有此名不同后缀的文件。已被卡巴删除。
我百度了一下,想查看一下病毒的相关信息,但是百度qkzpww.dll,没有相关网页。希望大虾们帮忙看看这是什么东西。
卡巴杀毒的信息:
2009-7-28 15:29:35        已删除        病毒 Net-Worm.Win32.Kido.ih        C:\WINDOWS\system32\qkzpww.dll

[ 本帖最后由 any99 于 2009-7-28 15:48 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

z2665
发表于 2009-7-28 15:48:13 | 显示全部楼层
2009/7/28        15:48:42        未采取操作         z2665        ODS        C:\Users\z2665\Desktop\qkzpww.rar\QKZPWW.DLL        W32/Conficker.worm.gen.a (病毒)
回复

举报

z2665
发表于 2009-7-28 15:49:57 | 显示全部楼层

回复 1楼 any99 的帖子

recycled是xp下的回收站
recycler是NTFS下的回收站,具体看摆渡
http://baike.baidu.com/view/888528.htm

[ 本帖最后由 z2665 于 2009-7-28 15:51 编辑 ]
回复

举报

悠柚
发表于 2009-7-28 15:50:19 | 显示全部楼层
kv Worm/Kido.gy
回复

举报

schumi小粉
发表于 2009-7-28 15:53:14 | 显示全部楼层
是conficker(kido)蠕虫啊,老样本了
回复

举报

any99
 楼主| 发表于 2009-7-28 16:01:24 | 显示全部楼层
为什么百度不到呢,望告知相关详细信息
回复

举报

黑衣~魂
发表于 2009-7-28 16:02:43 | 显示全部楼层
DR.WEB
qkzpww.dll - infected with Win32.HLLW.Shadow.based
回复

举报

any99
 楼主| 发表于 2009-7-28 16:05:42 | 显示全部楼层
此病毒有何危害?
回复

举报

fengtaks
发表于 2009-7-28 16:10:30 | 显示全部楼层

回复 1楼 any99 的帖子

Net-Worm.Win32.Kido.ih
This network worm spreads via local networks and removable storage media. When it copies itself to remote computers, the worm creates a temporary file with a random extension. The program itself is a Windows PE DLL file. The worm components vary in size from 155KB to 165KB. It is packed using UPX. / 通过网络和移动存储传播,复制自身,并创建临时文件夹。程序本身是Windows PE DLL 文件,使用UPX形式压缩

其可执行副本命名有:
%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp

创建系统服务,来达到开机自启的“目的”
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
同时修改一下注册表键值
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<original value> %System%\<rnd>.dll"

通过可移动存储传播,其将它的可执行程序复制到移动存储内的名称
<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
并在根目录创建 <X>:\autorun.inf
……
回复

举报

fengtaks
发表于 2009-7-28 16:17:15 | 显示全部楼层

回复 8楼 any99 的帖子

蠕虫~
还可以禁用wuauserv、BITS服务
同时,阻止访问所有含有这些字符串的地址(典型行为)
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

关于蠕虫的危害LZ也应该有所了解了吧~在此也就不赘述了
应该是利用 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 漏洞在网上传播的(比较久了)
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-17 21:31 , Processed in 0.170974 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表