微点交流论坛

标题: 上传个病毒样本顺便再提个建议 [打印本页]

作者: merandy 时间: 2008-12-17 22:34 标题: 上传个病毒样本顺便再提个建议

昨天碰到了一个病毒，名字还是recycled.exe伪装成系统文件隐藏在U盘根目录下面。特征是隐藏原有文件夹然后伪装一些假的exe文件骗取双击。

但是和原来碰到的不同的是，这回运行这个病毒微点虽然拦截并杀掉了生成文件，但病毒主体并不被微点自动清除，仍旧在U盘，微点隔离区也没有出现这个病毒。貌似它跟生成文件解除了关联。顺便说一下，NOD32和卡巴扫了没反应，不报毒。应该是做了免杀的，呵呵，赞一下微点！希望工程师能分析下，让微点能自动追踪删除。

顺便提点建议：

1.这种名为recycled.exe的病毒碰见好多回，都是学校机房打印室带回的，我想说的是系统里面貌似没有叫做recycled.exe的文件存在吧，顶多就有个recycled的文件夹在各盘的根目录，而现在U盘最泛滥的病毒本体几乎都把自己伪装成回收站。那么微点在目前没有扫描的情况下不能很好自动根除U盘病毒的弱点，能否加个简单的判断，对于插入的移动存储介质，能否自动对比一下根目录的exe文件，发现这种类似于recycled.exe的文件名碰到后就自动后台试探性运行，我想这样应该能很简单的预防一大类挂着recycled.exe等常用病毒名的U盘病毒了吧。我觉得这样应该也不会占用太多资源。

2.关于微点的特征码，微点也是有特征码的，我从pcsl的测试方法发现原来是在文件复制过程中微点会用特征码自动对比来静态杀毒的。那么再提个建议：既然微点能在查杀病毒的时候自动提取病毒的特征码，实现未知病毒特征码的本地自动更新。那为何不增加个特征码库共享的功能，即联网的计算机捕获新的特征码后能上报服务器并由服务器分享到其他计算机。这样以来不就让未碰毒的计算机也能识别此病毒，从而在此病毒进入本地硬盘的时候被拦截，而不是因为没有执行过此类病毒，特征库又没有而导致病毒进入计算机，留下隐患。（虽然病毒运行时微点会拦，但为何不拦之于门外呢？）我想，这才是真正意义上的所谓“云安全”，即自动捕获，本地识别，网络共享。顺带说一句强化一下病毒上传组件，上报特征库的时候把关联的样本上传，让工程师鉴定命名。

ok，就说这么多吧。

微点加油！！！

[ Last edited by merandy on 2008-12-17 at 22:36 ]

作者: Legend 时间: 2008-12-17 22:41
请楼主将recycled.exe加密压缩（密码：virus）和技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们virus@micropoint.com.cn 邮箱，随信请附带此贴链接。

作者: merandy 时间: 2008-12-17 22:45

Quote:

Originally posted by Legend at 2008-12-17 22:41:
请楼主将recycled.exe加密压缩（密码：virus）和技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们virus@micropoint.com.cn 邮箱，随信请附带此贴链接。

已经压缩发送了，不过没有设置密码，呵呵，不要紧吧。好像不会自动运行的。

请版主注意我的建议，那是重点！

呵呵

作者: Legend 时间: 2008-12-17 22:53
:P当然，您的建议我们会认真考虑的

作者: keyoushi 时间: 2008-12-18 02:18
这是个蠕虫
运行后症状：
　　1.在各个盘根目录下生成Recycled.exe和Autorun.inf，两个隐藏文件。Recycled.exe大小为73728字节，该文件为病毒文件；Autorun.inf文件大小44字节，是自动播放配置文件，双击Autorun.inf，发现内容为shell\opne\command=Recycled.exe，双击硬盘的时候Autorun.inf执行，修改注册表中相关内容。
　　2.不能显示隐藏的文件和文件夹,修改文件夹选项无效。
　　3.弹出对话框说系统文件已经被替换，要求你插入光盘修改回去。
　　4.弹出一个网页，说你中了病毒，在不停地向它发送数据包，要求你咨询江民公司，倒~:lol:
　　5.用自身替换系统文件%SystemDir%Rundll32.exe，只要Rundll32.exe被调用时都会激活病毒。正常的Rundll32.exe被完全破坏，只能通过备份恢复。
　　手动查杀：
　　1.按Ctrl＋Alt＋Del，查看进程里有没有Recycled.exe，如果有立刻结束，顺便也把Rundll32.exe进程结束了。如果任务管理器里看不见，用狙剑或者冰刃结束。（冰刃不支持VISTA SP1）
　　2。开始－－运行，输入regedit，回车，
　　在弹出地注册表编辑器中点击编辑菜单（Edit），选择查找（Find），
　　在弹出地查找（Find）窗口输入“Recycled.exe”并且点击查找下一个（Find Next），找到后全部删除。

　　（注：双击硬盘打不开一般都是这几个地方的注册表被修改了，键值是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，如果对注册表有了解的话，可以手动展开然后删除相应的键值）
　　恢复隐藏文件：（最简单的办法用USBCLEAER 6.0恢复）
　　把HKEY_CURRENT_USER键值合上，点击最左边的“-”就可以了。。。
　　然后双击HKEY_LOCAL_MACHINE展开。。。
　　然后依次展开SOFTWARE，Microsoft，Windows，CurrentVersion，Explorer，
　　Advanced，Folder，Hidden子键，单击选择SHOWALL，
　　双击右边窗口的CheckedValue，把弹出窗口中的值从0改成1，如果是1就不用改了。。。
　　然后一次展开HKEY_LOCAL_MACHINE，SOFTWARE ，Microsoft， Windows NT， CurrentVersion ，单击Winlogon在右边窗口找到SFCDisable，
　　双击SFCDisable，把其中的数值从1改成0，如果是0就不需要改了。
　　接着打开我的电脑，单击工具，选择文件夹选项，
　　选择查看标签，选择显示所有的文件和文件夹，，，再把隐藏受保护的操作系统文件（推荐）前面的勾去掉。。
　　接着右击C盘（记住一定不要双击），选择资源管理器，
　　删除C盘下面的Recycled.exe和Autorun.inf，
　　
　　然后对D盘，E盘其余这些硬盘也这么做。。。
　　最后到C盘Windows文件夹下的System32文件夹下删除Rundll32.exe文件，刷新~
　　OK~

作者: merandy 时间: 2008-12-18 09:34 标题: 回5#

谢谢！不过病毒不是你说的那个。

现在写病毒的基本都用这个方法骗用户的。我碰见叫recycled.exe的病毒都不下四种，行为大体类似可又有区别，大部分应该是加了壳免杀的，一般扫描都能过。

所以我才建议对可疑文件名也做一定程度的预防和查杀。

最后谢谢了，我机器很干净，病毒被微点拦住了。

作者: Legend 时间: 2008-12-19 11:47
感谢您的及时反馈，此问题我们已经解决，但需要您等待我们升级解决。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn