Board logo

标题: 恶意程序《机器猫》 [打印本页]
作者: 点饭的百度空间     时间: 2007-12-14 13:14    标题: 恶意程序《机器猫》

报已知病毒的只有2家。。:(


友情提醒 运行新病毒有风险 请勿模仿!  附其他人的第一时间测试结果:


卡巴7.0主动防御报风险软件  如用户点阻止可以过关












超越传统hips的瑞星2008! :o?

---------------------------------------------分割线----------------------------------------------------



病毒名称

Malware.Win32.DoRaeMon.a

捕获时间

2007-12-12

病毒症状

     该病毒使用VC++编写的恶意程序,程序未经过加壳,长度225,280字节,图标为动画片<机器猫>中哆啦A梦的头像,病毒扩展名为exe,主要通过可移动存储、文件捆绑等方式传播。

      
病毒分析

     该程序被激活后,检查自启动项下是否存在VKidding_vk子键,如果不存在则添加名为VKidding_vk启动项,其映射路径为C:\VKidding\kid.exe,以达到随系统启动的目的;播放病毒自身资源中动画片《机器猫》中一段插曲音乐,同时修改注册表项使Windows任务管理器不能正常使用;加载动态链接库HOOK.DLL通过全局键盘和鼠标钩子截获键盘和鼠标消息使其不能被Windows操作系统正常接收处理,将显示器屏幕打印成蓝色并隐藏任务栏;依次遍历C盘到L盘在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding,目录中包括autorun.inf、HOOK.DLL、kid.exe,使用Windows自动播放功能使病毒传播。


感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

可移动存储、文件捆绑


安全提示

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件.”,请直接选择删除处理(如图1);

大刀向病毒砍去!我的微点

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Malware.Win32.DoRaeMon.a”,请直接选择删除(如图2)。


未使用微点主动防御软件的用户

      1、专家建议不要在不明站点下载非官方版本的程序软件进行安装,以便病毒通过捆绑的方式进入您的系统;

      2、建议关闭U盘自动播放,具体操作步骤:开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到"关闭自动播放">双击>选择"已启用"。
      
      3、开启windows自动更新,及时打好漏洞补丁。


技术细节

中毒之后的计算机将播放动画片《机器猫》中一段格式wav的插曲音乐,伴随着音乐屏幕瞬间变成蓝色,在此病毒通过hook消息的方式使得键盘和鼠标部分功能失效,无法激活任何应用程序,由于windows自身机制此方式无法hook键盘CTRL+ALT+DEL组合键的消息,所以任务管理器才会被病毒作者禁用;重启计算机后由于病毒启动项加载病毒,依然导致上述现象发生,使得用户系统瘫痪。

病毒修改的注册表项:
项:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
键值:VKidding_vk
指向文件:C:\VKidding\kid.exe

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值:DisableTaskMgr
指向变量:1

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※

作者: 点饭的百度空间     时间: 2007-12-14 13:23
很遗憾 没看见瑞星08的酱菜表现,
作者: lotei     时间: 2007-12-14 13:46
呵呵!可爱的哆啦A梦病毒!
作者: 点饭的百度空间     时间: 2007-12-14 13:58


  Quote:
Originally posted by lotei at 2007-12-14 13:46:
呵呵!可爱的哆啦A梦病毒!

支持版主! 楼上的头像很特别:)
作者: sidineyqiao     时间: 2007-12-14 14:10
瑞星也过了吗? 有点假。

不过顶一下。。总算瑞星在关键时候没给国产软件丢脸。。


希望不要有内部操作就好了啊
作者: 点饭的百度空间     时间: 2007-12-14 14:23


  Quote:
Originally posted by sidineyqiao at 2007-12-14 14:10:
瑞星也过了吗? 有点假。
总算瑞星在关键时候没给国产软件丢脸。。




rs=瑞星
作者: popeye-pavel     时间: 2007-12-14 17:52
呵呵
作者: 逻辑锁     时间: 2009-2-25 11:24
顶微点
作者: 专业路过     时间: 2009-2-25 21:37
好漂亮的机器猫啊,真可爱。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn