有史以来我见过的最牛B的病毒

cocplay

瑞星1010杀了

HERDY

不是吧，连这么厉害的小红伞都......但是瑞星却......

sse

RIS2010

千里同风

没用过红伞，不带主防吗？这年头单凭扫描是不行的，此类病毒最差的主防也应该防住。

dstydm

没听过好奇害死猫吗

thelordisone

MSE报了

浪漫小白

过了小白的防御，微点+360杀毒，重装系统。。。。。
牛。。。

xinhonglin

这么牛的病毒 关注一下

xinhonglin

原帖由 浪漫小白 于 2009-10-10 12:35 发表
过了小白的防御，微点+360杀毒，重装系统。。。。。
牛。。。

微点没过呀 点击之后 一个dos窗口一闪而过，然后微点不停报毒 然后需要重启 重启之后未发现异常。

囧神

囧~被标题吸引进来，简单看了下楼主的遭遇，就分析了下这个毒，基本的病毒行为如下~

病毒行为：

写入文件：
C:\WINDOWS\system32\appmgmts.dll
之后在系统临时文件夹创建临时文件CPP.bat之后删除~
创建并调用了C:\WINDOWS\system32\cmd.exe CMD进程
没有COM对象
没有写入注册表~（这点上就通过了大部分杀软的主防，在注册表上一点动作都没有）
但是关键在于服务：
打开SCManager
打开、询问、启动AppMgmt（缩写） 用于安装软件服务
打开、询问、启动WmdmPmSN
打开、询问、启动FastUserSwitchingCompatibility 用于多用户软件管理
打开、询问、启动BITS（缩写）

之后加载进程所用的系统DLL文件，其中包括appmgmts.dll，CMD.exe和CPP.bat~
主要病毒本体进程，updata2009.exe到这里就自动退出，并删除自身本体~囧
之后被注入的svchost.exe进程和改写了的appmgmts.dll，以及会注入并调用系统当前的默认浏览器。。（囧~我可怜的TW）通过UDP和TCP协议，通过53，80，和68等端口开始下载大量的病毒~

其名为a39w.exe的病毒本体才是破坏的主力，它被下载下来之后开始启动进程、服务、设置注册表启动项的键值~访问系统文件夹（囧~不过一般杀软会在这时候报警了，毒霸极速版就杀了20个左右的下载下来的病毒~而且没被结束掉~囧囧）
a39w.exe还会释放xingin.bat的批处理文件和名为KillDr.exe的可执行程序，这两个文件我没有做深入的了解囧~不过估计是用来搞破坏和对付杀软的~囧囧囧
囧~之后就是几个联网程序不断的从网上下病毒的无限循环了，基本行为就这些了~囧囧囧囧~

（PS：之后经过检查，发现并没有被穿还原，我用的是RVS2008~没有被穿）