智能手机存储卡上发现的U盘病毒（文件夹模仿者？）

显示全部楼层 · 发表于 2011-5-14 18:23:42

已经有一段时间没有在电脑上捕捉到新的病毒样本了，今天却一口气逮着了8个病毒。不过都是老牌病毒了，相信没有几个杀毒软件会不认识的，怀疑是文件夹模仿者U盘病毒。
同事今天说要请我帮忙教他如何给塞班系统手机软件签名，结果手机存储卡刚一连接电脑，小红伞就开始报警了，一共是8个病毒文件，但是那个自动运行文件autorun.inf被杀掉了，就剩下了7个。不过360安全卫士的U盘检测好像不太灵光，快速扫描结果居然是安全的，用avast!扫描U盘（未打开U盘的情况下），也没有扫描出来，看来对于U盘病毒不太敏感，不过打开U盘时，avast!也报告了病毒，杀掉了其中的autorun.inf文件。7个文件6个大小一样，图标也像文件夹，文件太大，只上传其中的2个好了。
小红伞扫描日志：
Avira AntiVir Premium
报告文件日期: 2011年5月14日  15:46
正在扫描 2730903 个病毒变种和恶意程序。
平台          : Windows 7
Windows 版本 : (Service Pack 1)  [6.1.7601]
启动模式       : 已正常启动
用户名       : Lenovo
计算机名称       : LENOVO-PC
版本信息:
BUILD.DAT : 9.0.0.17    25016 Bytes  2010/10/18 13:50:00
AVSCAN.EXE : 9.0.3.10    466689 Bytes  2009/10/13 03:26:19
AVSCAN.DLL : 9.0.3.0    40705 Bytes 2009/9/8 01:19:38
LUKE.DLL    : 9.0.3.9    208129 Bytes  2009/11/26 06:59:23
LUKERES.DLL  : 9.0.2.0    12033 Bytes 2009/9/8 01:20:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009/11/6 23:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes  2010/12/14 11:17:47
VBASE002.VDF : 7.11.3.0 1950720 Bytes 2011/2/9 11:17:47
VBASE003.VDF : 7.11.5.225 1980416 Bytes 2011/4/7 11:17:47
VBASE004.VDF : 7.11.5.226    2048 Bytes 2011/4/7 11:17:47
VBASE005.VDF : 7.11.5.227    2048 Bytes 2011/4/7 11:17:47
VBASE006.VDF : 7.11.5.228    2048 Bytes 2011/4/7 11:17:47
VBASE007.VDF : 7.11.5.229    2048 Bytes 2011/4/7 11:17:47
VBASE008.VDF : 7.11.5.230    2048 Bytes 2011/4/7 11:17:47
VBASE009.VDF : 7.11.5.231    2048 Bytes 2011/4/7 11:17:47
VBASE010.VDF : 7.11.5.232    2048 Bytes 2011/4/7 11:17:47
VBASE011.VDF : 7.11.5.233    2048 Bytes 2011/4/7 11:17:47
VBASE012.VDF : 7.11.5.234    2048 Bytes 2011/4/7 11:17:47
VBASE013.VDF : 7.11.6.28 158208 Bytes 2011/4/11 11:17:47
VBASE014.VDF : 7.11.6.74 116224 Bytes 2011/4/13 11:17:47
VBASE015.VDF : 7.11.6.113 137728 Bytes 2011/4/14 11:17:47
VBASE016.VDF : 7.11.6.150 146944 Bytes 2011/4/18 11:17:47
VBASE017.VDF : 7.11.6.192 138240 Bytes 2011/4/20 11:17:47
VBASE018.VDF : 7.11.6.237 156160 Bytes 2011/4/22 11:17:47
VBASE019.VDF : 7.11.7.45 427520 Bytes 2011/4/27 00:20:33
VBASE020.VDF : 7.11.7.64 192000 Bytes 2011/4/28 01:36:14
VBASE021.VDF : 7.11.7.97 182272 Bytes 2011/5/2 11:44:52
VBASE022.VDF : 7.11.7.127 467968 Bytes 2011/5/4 00:07:37
VBASE023.VDF : 7.11.7.183 185856 Bytes 2011/5/9 09:44:28
VBASE024.VDF : 7.11.7.218 133120 Bytes 2011/5/11 00:17:56
VBASE025.VDF : 7.11.7.234 139776 Bytes 2011/5/11 00:17:56
VBASE026.VDF : 7.11.8.16 147456 Bytes 2011/5/13 23:59:50
VBASE027.VDF : 7.11.8.17    2048 Bytes 2011/5/13 23:59:50
VBASE028.VDF : 7.11.8.18    2048 Bytes 2011/5/13 23:59:50
VBASE029.VDF : 7.11.8.19    2048 Bytes 2011/5/13 23:59:50
VBASE030.VDF : 7.11.8.20    2048 Bytes 2011/5/13 23:59:50
VBASE031.VDF : 7.11.8.21    2048 Bytes 2011/5/13 23:59:50
引擎版本       : 8.2.4.228
AEVDF.DLL : 8.1.2.1    106868 Bytes 2011/4/27 11:17:48
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 2011/5/6 00:08:00
AESCN.DLL : 8.1.7.2    127349 Bytes 2011/4/27 11:17:47
AESBX.DLL : 8.1.3.2    254324 Bytes 2011/4/27 11:17:48
AERDL.DLL : 8.1.9.9    639347 Bytes 2011/4/27 11:17:47
AEPACK.DLL : 8.2.6.0    549237 Bytes 2011/4/27 11:17:47
AEOFFICE.DLL : 8.1.1.22    205178 Bytes 2011/5/6 00:07:59
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 2011/5/6 00:07:59
AEHELP.DLL : 8.1.16.1    246134 Bytes 2011/4/27 11:17:47
AEGEN.DLL : 8.1.5.4    397684 Bytes 2011/4/27 11:17:47
AEEMU.DLL : 8.1.3.0    393589 Bytes 2011/4/27 11:17:47
AECORE.DLL : 8.1.20.2    196982 Bytes 2011/4/27 11:17:47
AEBB.DLL    : 8.1.1.0    53618 Bytes 2011/4/27 11:17:47
AVWINLL.DLL  : 9.0.0.3    18177 Bytes  2008/12/12 00:47:59
AVPREF.DLL : 9.0.3.0    44289 Bytes 2009/8/26 07:14:02
AVREP.DLL : 10.0.0.9    174120 Bytes 2011/4/27 11:17:48
AVREG.DLL : 9.0.0.0    36609 Bytes 2008/12/5 02:32:09
AVARKT.DLL : 9.0.0.3    292609 Bytes 2009/3/24 07:05:41
AVEVTLOG.DLL : 9.0.0.7    167169 Bytes 2009/1/30 02:37:08
SQLITE3.DLL  : 3.6.1.0    326401 Bytes 2009/1/28 07:03:49
SMTPLIB.DLL  : 9.2.0.25    28417 Bytes 2009/2/2 00:21:33
NETNT.DLL : 9.0.0.0    11521 Bytes 2008/12/5 02:32:10
RCIMAGE.DLL  : 9.0.0.28 2623745 Bytes 2009/5/19 06:28:53
RCTEXT.DLL : 9.0.76.0    84225 Bytes 2011/4/27 11:17:47
扫描的配置设置:
作业名称...........: ShlExt
配置文件...........: C:\Users\Lenovo\AppData\Local\Temp\d7691131.avp
日志记录...........: 低
主操作............: 交互式
辅助操作...........: 删除
扫描主启动扇区........: 打开
扫描启动扇区.........: 打开
启动扇区...........: J:,
进程扫描...........: 关闭
扫描注册表..........: 关闭
搜索 Rootkit.....: 关闭
系统文件完整性检查......: 关闭
优化的扫描..........: 打开
扫描所有文件.........: 智能文件选择
扫描存档...........: 打开
递归深度...........: 20
智能扩展...........: 打开
宏启发式...........: 打开
文件启发式..........: 中
偏离风险类别.........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
扫描开始时间: 2011年5月14日  15:46
正在启动文件扫描:
开始在“J:\”中扫描
J:\cities.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
J:\Data.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
J:\Private.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
J:\resource.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
J:\sys.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
J:\Recycle.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
开始杀毒:
J:\cities.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e423491.qua”!
J:\Data.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e42348a.qua”!
J:\Private.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e37349b.qua”!
J:\resource.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e41348e.qua”!
J:\sys.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e4134a2.qua”!
J:\Recycle.exe
[检测]       是 TR/ATRAPS.Gen2 特洛伊木马
[注意]       文件已移到“4e31348f.qua”!

扫描结束时间: 2011年5月14日  15:50
已用时间: 03:07 分钟
扫描完毕。
751 已扫描目录
5116 已扫描文件
   6 发现病毒和/或恶意程序
   0 文件被划定为可疑
   0 个文件已删除
   0 病毒和恶意程序已修复
   6 文件已移到隔离区
   0 文件已重命名
   0 无法扫描的文件
5110 不关心的文件
   17 存档已扫描
   0 警告
   6 说明

病毒样本：

显示全部楼层 · 发表于 2011-5-14 19:01:41

2011-5-14 18:58:18 创建文件夹允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\krnln.fnr
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\HtmlView.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\internet.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\eAPI.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\dp1.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\shell.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\spec.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\cnvpe.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\RegEx.fnr
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 创建文件允许
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_N4\eCompress.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\新建文件夹\sys.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-5-14 18:58:18 访问COM接口阻止
进程: d:\我的文档\virus test\新建文件夹\sys.exe
目标: {8856F961-340A-11D0-A96B-00C04FD705A2} Shell.Explorer.2
文件路径: C:\WINDOWS\system32\ieframe.dll
规则: [应用程序组]●研磨 -> [COM接口]{8856F961-340A-11D0-A96B-00C04FD705A2}

显示全部楼层 · 发表于 2011-5-14 19:01:49

本帖最后由 xwhmm 于 2011-5-14 19:02 编辑

部分就秒杀

显示全部楼层 · 发表于 2011-5-14 19:23:11

“TR/AutorunINF.14 [trojan]”。

显示全部楼层 · 发表于 2011-5-14 20:21:01

BD秒杀

显示全部楼层 · 发表于 2011-5-14 20:29:31

其实楼主可以尝试双击模仿文件夹

360 卫士U盘防护会提示是否允许运行

显示全部楼层 · 发表于 2011-5-14 21:48:50

毒霸

显示全部楼层 · 发表于 2011-5-14 21:57:03

本帖最后由三生缘石于 2011-5-14 22:34 编辑

eset kill

C:\Users\微亿毫\Desktop\新建文件夹\sys.exe - Win32/Packed.FlyStudio.O.Gen potentially unwanted application
C:\Users\微亿毫\Desktop\新建文件夹\trz7DC6.tmp - INF/Autorun.gen trojan

显示全部楼层 · 发表于 2011-5-14 22:34:14

那我来测试吧~
只有两个样本？ESET all killed.
G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\sys.exe - Win32/Packed.FlyStudio.O.Gen 潜在的不受欢迎应用程序
G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\trz7DC6.tmp - INF/Autorun.gen 特洛伊木马

显示全部楼层 · 发表于 2011-5-15 08:02:48

可疑文件扫描报告┊2011-4-24 8:00┊

┊360杀毒 2.0.0.2033 ┊
扫描选项--指定目录扫描
----------------------
使用QVM启发式引擎（v1.2011.5.4）：是
升级设置：定时升级，每天--16：24 升级本地BitDefender病毒库
多引擎设置：禁用360云查杀引擎
=======================
┊安天防线v7.2.2.3184 ┊
--指定目录扫描
----------------------
升级设置：打开后在线自动升级

Windows XP SP3┊Google Chrome 11┊7-Zip┊7z
----------------------
文件名: D:\mp4\0515星期天\新建文件夹\新建文件夹.part1.rar
文件大小: 506880 字节 (495.00 KB)
修改日期: 2011-05-15 07:55
MD5: b886548e6c2b6264cae618a2c9f0f152
SHA1: cfcd2fb49b95c9960a688e1d65c9dbc44e596c4c
SHA256: a39f5b258611aef9ddd0faf0dd808ff0b9b19acc1b045b529d873ede9f7c5cba
CRC32: 06fbe479

文件名: D:\mp4\0515星期天\新建文件夹\新建文件夹.part2.rar
文件大小: 506880 字节 (495.00 KB)
修改日期: 2011-05-15 07:55
MD5: 7acf3a5202658f4ab7c9894d257b0e4e
SHA1: dc57353558da560633cc3971b509d653aa27e3ec
SHA256: 624800cc13f1316385419ff09e02fcb2a52626be21f74014151c7cb2f5e6637d
CRC32: ea25f1f7

文件名: D:\mp4\0515星期天\新建文件夹\新建文件夹.part3.rar
文件大小: 479599 字节 (468.36 KB)
修改日期: 2011-05-15 07:56
MD5: c9270852c93aa5d199d3b744161850f9
SHA1: 2014120804d13511684d75a41db4e8b749ad3664
SHA256: ff741d751f45ac9184cc989e7eb3b7143581550d7fe4c80a04d8ebe83955bc54
CRC32: 21be1258

----------------------
360杀毒2：
病毒扫描结果
----------------------
D:\mp4\0515星期天\新建文件夹\新建文件夹.part1.rar=>trz7DC6.tmp 木马程序(Trojan.AutorunINF.Gen) 未处理
D:\mp4\0515星期天\新建文件夹\新建文件夹.part1.rar=>sys.exe 可疑木马(Trojan.Generic.3261893) 未处理
=======================
安天防线7：
[2011-05-15 07:58:22] D:\mp4\0515星期天\新建文件夹\新建文件夹.part3.rar/trz7DC6.tmp 蠕虫病毒(worm/win32.flystudio.cu) 未处理

----------------------
本地病毒库最后更新时间：2011-5-15 7:59

在线多引擎扫描：

[病毒样本] 智能手机存储卡上发现的U盘病毒（文件夹模仿者？）