病毒！

zc785004002

本来打算下外挂的，没想到有毒，为了测测MCAFEE的监控就打开了，没想到监控没发现，只有扫描才能发现。

大家帮忙看看此毒有什么动作。

[ 本帖最后由 zc785004002 于 2009-10-4 21:50 编辑 ]

zc785004002

唉，还是要怪我太大意了，这个病毒伪装成一个压缩文件，但是可以解压，解压后出现一个ABC的文件。

知道刚才上传文件提示不支持格式才发现这是个伪装成压缩包的EXE文件，但是，有个问题，这个伪装的压缩包EXE为何能够解压？

zc785004002

或者有人不信，这是下载地址，大家试试http://www.989228.cn/2009641125349882.exe

zc785004002

扫描结果 :   32%的杀软(12/37)报告发现病毒
时间 :   2009/10/04 21:42:00 (CST)
软件名称 引擎版本 病毒库版本 病毒库时间 扫描结果 时间
a-squared 4.5.0.8 20091004083115 2009-10-04 Trojan.Win32.VB!IK 5.420
AntiVir 8.2.1.33 7.1.6.68 2009-10-02 TR/Crypt.ZPACK.Gen 0.393
Arcavir 2009 200910020826 2009-10-02 - 0.095
Authentium 5.1.1 200910031310 2009-10-03 - 1.488
AVAST! 4.7.4 091003-0 2009-10-03 - 0.016
AVG 8.5.288 270.14.3/2413 2009-10-04 VB.NCP 0.745
BitDefender 7.81008.4313294 7.28072 2009-10-04 - 3.806
CA (VET) 9.0.0.143 31.6.6773  2009-10-03 - 8.897
ClamAV 0.95.2 9865 2009-10-03 - 0.030
Comodo 3.11 2511 2009-10-04 - 2.036
CP Secure 1.3.0.5 2009.09.30 2009-09-30 - 0.111
Dr.Web 4.44.0.9170 2009.10.04 2009-10-04 Trojan.StartPage.22406 5.565
F-Prot 4.4.4.56 20091003 2009-10-03 - 1.429
F-Secure 7.02.73807 2009.10.03.02 2009-10-03 - 0.210
GData 19.8212/19.498 20091004 2009-10-04 Trojan.Win32.Larchik.gs [Engine:A] 10.295
Ikarus T3.1.01.72 2009.10.04.73928 2009-10-04 Trojan.Win32.VB 4.098
Microsoft 1.5101 2009.10.04 2009-10-04 Trojan:Win32/Airostor.A 7.388
Norman 6.01.09 6.01.00 2009-09-16 - 1.862
nProtect 20090930.01 5696930 2009-09-30 - 9.526
Quick Heal 10.00 2009.10.03 2009-10-03 - 2.384
Sophos 2.90.1 4.45 2009-10-04 Mal/Generic-A 3.617
Sunbelt 5427 5427 2009-10-02 - 2.240
The Hacker 6.5.0.2 v00028 2009-10-03 - 0.824
VBA32 3.12.10.11 20091003.1357 2009-10-03 - 1.944
ViRobot 20091002 2009.10.02 2009-10-02 - 1.878
VirusBuster 4.5.11.10 10.112.57/1940742 2009-10-03 - 2.422
卡巴斯基 5.5.10 2009.10.04 2009-10-04 Trojan.Win32.Larchik.gs 0.145
安博士V3 2009.10.04.00 2009.10.04 2009-10-04 - 2.395
安天 2.0.18 20091003.2955253 2009-10-03 - 0.017
江民杀毒 11.0.800 2009.10.04 2009-10-04 TrojanDownloader.VB.qnw 26.627
熊猫卫士 9.05.01 2009.10.04 2009-10-04 - 2.416
瑞星 20.0 21.49.22.00 2009-09-30 - 2.158
赛门铁克 1.3.0.24 20091003.004 2009-10-03 W32.IRCBot 0.079
趋势科技 8.700-1004 6.504.02 2009-10-04 - 0.106
迈克菲 5.3.00 5760 2009-10-03 New Malware.ac 3.347
金山毒霸 2009.2.5.15 2009.10.4.19 2009-10-04 - 1.459
飞塔 2.81-3.120 10.904 2009-10-04 - 1.634
■Heuristic/Suspicious  ■Exact

zjzkl

nod32  监控  扫描报毒

尤金卡巴斯基

2009/10/4 21:55:56        已清除        木马程序 Trojan.Win32.Larchik.gs        G:\Temp\Virus\2009641125349882.rar/2009641125349882.exe/abc.exe

zc785004002

卡巴斯基上午还不能查杀，刚才更新之后才能查杀的

悠柚

Fortinet miss

尤金卡巴斯基

原帖由 zc785004002 于 2009-10-4 22:04 发表
卡巴斯基上午还不能查杀，刚才更新之后才能查杀的

很奇怪吗？？

yyylll66

这个abc.exe也就一流氓，

流氓行径：
隐藏真正的ie，桌面创建伪ie快捷方式以及快速启动栏ie后面带http://www.t67.net/尾巴，收藏夹增加一个“网络创富富典.url”，然后abc.exe毁尸灭迹！

行为分析：
C:\Documents and Settings\Administrator\桌面\Internet Exp1orer.lnk （注意；Exp1orer.lnk里的1与l区别）
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internat Exp1orer.lnk
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.t67.net/

C:\Documents and Settings\Administrator\Favorites\网络创富富典.url
注册表HKCU\NewStartPanel
{871C5380-42A0-1069-A2EA-08002B30309D}改数值为1

调用cmd.exe检查TCP/IP是否正常，然后使用del命令挥刀自宫abc.exe。

解决：
用windows清理助手可搞定！

[ 本帖最后由 yyylll66 于 2009-10-4 23:15 编辑 ]