微点交流论坛

标题: 一个vbs病毒微点不报 [打印本页]

作者: leowz 时间: 2007-11-19 21:10 标题: 一个vbs病毒微点不报

前几天中的vbs病毒在几位老师的电脑上一直还有，今天又去老师那拷资料了，我明知道盘里肯定有毒，但想检验一下微点，还是义无反顾的把盘插上电脑，双击，结果电脑立马重启了。唉，微点啊，都怪我太信任你了。重启后，双击我的电脑，假死5分钟还没出来，点任务管理器还是不出来。等不下去了，按了reset重启电脑，这次双击我的电脑还是假死，不过2分钟左右，还是出来了。经各个硬盘看看，果然能看到administrator.vbs，不过这次还好，能看任务管理器，能运行cmd，也能看隐藏文件，微点没报，应该是AutoGuarde免疫的功劳。看着那几个让人咬牙切齿的东东（以前看不到它们的），这次我是从容的shift+delete掉，然后留了一个打包了，打算上报给微点。打包完了，还大胆的运行了一下那个administrator.vbs，不过电脑没任何反应，微点也没任何提示。
我说的vbs病毒有如下症状：
①不能看任务管理器，开几秒就自动关，运行CMD也是，②不能看隐藏文件，改注册表也不行，③有台电脑还看不了txt文件，④有台电脑还不能上网（有流量，但不能开网页、登QQ，系统恢复之后才能上）。⑤system32下面生成以当前用户名命名的vbs
每个盘生成autorun.inf和以当前用户名命名的vbs,中毒的电脑有装NOD32的，有卡巴，还有正版诺顿。

作者: Legend 时间: 2007-11-19 21:24
谢谢楼主的反馈，请您协助将该样本发送到virus@micropoint.com.cn，我们具体分析一下，随信请附上本帖链接，谢谢。

作者: leowz 时间: 2007-11-19 21:24
VirSCAN.org Scanned Report :
Scanned time : 2007/11/19 21:18:03 (CST)
Scanner results: 29%的杀软(10/35)报告发现病毒
File Name    : AutoRun.rar
File Size    : 12263 byte
File Type    : RAR archive data, v1d, os
MD5          : 5f7f99703ebd5cf4e350108b45aa29e5
SHA1          : 50da3ce643abfe1a52a3b610c36ddb778f7e46d6
Online report  : http://virscan.org/report/4dc9db7e817dbeac9f233f92d58e871f.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    3.0.0.126    2007.11.18       2007-11-18  2.94 -
安博士V3    2007.11.17.00 2007.11.17       2007-11-17  0.86 -
AntiVir       7.6.0.34       7.0.0.231       2007-11-19  2.07 VBS/Changeset.A
Arcavir       1.0.4          200711181423    2007-11-18  1.35 -
AVAST       1.0.8          071119-0       2007-11-19  3.06 -
AVG          7.5.49.442    269.16.0/1139    2007-11-19  1.88 -
BitDefender 7.60825.956141  7.15876          2007-11-19  3.56 Win32.VBS.Agent.E
CA (VET)    9.0.0.143    31.2.5304       2007-11-17  0.75 -
ClamAV       0.91.2       4841             2007-11-19  0.03 -
Comodo       2.11          2.0.0.348       2007-11-19  0.80 -
CP Secure    1.1.0.655    2007.11.19       2007-11-19  5.02 -
Dr.WEB       4.44.0.9170    2007.11.19       2007-11-19  4.08 VBS.Antipron
ewido       4.0.0.2       2007.11.18       2007-11-18  2.13 -
F-PROT       4.4.1.52       20071118       2007-11-18  1.52 VBS/Nauj.A (exact)
F-SECURE    5.51.6100    2007.11.19.05    2007-11-19  0.04 VBS/Nauj.A [Libra]
飞塔          2.81-3.11    8.385          2007-11-18  1.95 -
ViRobot       20071116       2007.11.16       2007-11-16  0.64 -
IKARUS       T3.1.01.15    2007.11.19.69841  2007-11-19  1.22 Virus.VBS.Agent.L
江民杀毒    10.00.650    2007.11.18       2007-11-18  1.37 -
卡巴斯基    5.5.10       2007.11.19       2007-11-19  6.84 Virus.VBS.Agent.l
金山毒霸    2007.6.20.249 2007.11.18       2007-11-18  0.64 VBS.DNAOrder.aa.35780
迈克菲       5.2.00       5165             2007-11-16  0.96 -
MKS_VIR       2.01          2007.11.18       2007-11-18  2.43 -
NORMAN       5.91.08       5.90             2007-11-15  3.77 -
熊猫卫士    9.04.03.0001 2007.11.18       2007-11-18  4.50 -
趋势          8.500-1001    4.832.07       2007-11-19  0.05 -
Prevx       V2             20071119       2007-11-19  22.57  -
QuickHeal    9.00          2007.11.16       2007-11-16  2.31 -
瑞星          19.0          20.18.61.00    2007-11-18  0.86 Script.VBS.Vote
SOPHOS       2.49.1       4.21             2007-11-19  7.71 -
赛门铁克    1.3.0.24       20071118.016    2007-11-18  0.39 VBS.Invadesys.A
nProtect    2007-11-19.00 1056315          2007-11-19  8.24 -
The Hacker    6.2.9          v00133          2007-11-17  0.78 -
VBA32       3.12.2.5       20071119.0951    2007-11-19  0.72 -
VirusBuster 4.3.19:9       9.115.1/11.0    2007-11-18  0.00 -

看来这几天能查杀的反病毒软件多了，前几天只有3家的

作者: Legend 时间: 2007-11-22 11:06
谢谢楼主的反馈，您的邮件我们已经收到，但是您提供的附件中程序无法运行，
如果您方便，请您再使用记事本打开autorun.inf文件查看里面的内容，然后将aurorun.inf文件以及autorun.inf内容中提到的文件一起发到virus@micropoint.com.cn邮箱，以便我们进行深一步的测试

作者: Legend 时间: 2007-11-27 16:32
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn