微点交流论坛

标题: 杀毒软件前线崩溃超强虚拟机感染型病毒大开杀戒！ [打印本页]

作者: 点饭的百度空间 时间: 2009-1-9 11:40 标题: 杀毒软件前线崩溃超强虚拟机感染型病毒大开杀戒！

北京林业大学登天家园

作者: bjfuzh 时间: 2008-11-22 12:24 标题: 让你电脑崩溃的病毒

让你电脑崩溃的病毒昨天，我同学拿U盘到11号楼后面“文成杰座”下面的打印店（小北门那，旁边是理发店和文具店）去打东西，
结果中了个病毒：“Virus.Win32.Sality.aa ”，它最大的毒性就在存在u盘中，只要一插在电脑上，一打开，卡巴斯基马上崩溃，之前任何杀毒软件都没杀出来，然后马上感染电脑里所有的exe文件，使它们全成为病毒，这时你再杀毒时，所有被感染的文件全被杀掉，注册表也全被修改，你的杀毒软件会一直叫个不停，我那时叫了快一个小时了，太恐怖了！！！
然后你的电脑重启，接着，你的任务管理器打不开了，系统运行速度严重变慢，这时你再怎么杀毒已经晚了！
所有在此告诉大家，千万别去那打印东西了，中了就完了，我现在正准备重装系统，但在网上查了，好像重装后还会有问题，请哪位高手帮忙解决下，
幸好我的是VISTA，我同学那个XP的电脑是卡巴斯基直接屏蔽了，结果马上重装。可恶的病毒，害死我们这些无辜的人啦。

大家要引以为戒呀！ :(

这是我电脑杀毒的结果：

已清除: 病毒 Virus.Win32.Sality.aa 文件: G:\Downloads\CCTVRegOcx.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\0.Kaspersky.卡巴斯基6.0杀毒软件[推荐安装，校内升级]\卡巴斯基6.0安装程序Workstation版本\安装程序\klcfginst.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: H:\yuyrt.pif
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\0.Kaspersky.卡巴斯基6.0杀毒软件[推荐安装，校内升级]\卡巴斯基6.0安装程序Workstation版本\安装程序\setup.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: C:\Program Files\Common Files\microsoft shared\IME12\IMESC\IMSCMIG.EXE
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\AutoCAD 2008\AcSignApply.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: C:\Program Files\360Safebox\360safebox.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: G:\电视软件\pplivesetup_1.9.47.exe
中毒太多省略...
原文：http://bbs.dengtian.com/viewthre ... able&tid=263442

Virus.Win32.Sality.aa 带虚拟机感染的病毒：

金山毒霸李铁军：超强感染型病毒Win32.Sality.aa病毒告诉我们：木马尚未雄霸天下

发现结束进程后，任务管理器和注册表编辑器仍不能运行。显然，这种方法不能解决。

在虚拟机里安装毒霸2009，再升级到最新，重启系统全盘杀毒，清除了上百个Win32.Sality.aa病毒之后问题解决。另外发现这个【Win32.Sality.aa病毒目前只能使用隔离】，需要使用备份来恢复感染Win32.Sality.aa病毒的程序文件。Win32.Sality.aa病毒感染严重的电脑，消灭病毒之后，还需要重装受损的应用程序，如果操作系统被破坏的较严重，可能需要重装，或者运行【sfc /scannow来修复损坏的EXE程序】。

金山网友：病毒破坏了金山的升级程序一但中了无法升级
不过可以升级清理专家急救箱也能正常使用或者推出专杀？？

2009-01-07 18:37 | 百度网友网安石：
现在似乎难以将病毒从EXE上剥离下来，上次同学中毒，几十个G的软件都废了

李铁军，碰到虚拟机感染型傻了吧 (Win32.Sality.aa 微点棋高一着)

原文：http://hi.baidu.com/micropoint/b ... 4de78c471064fe.html

【】一：为什么会只能够隔离？云安全很好很强大。。。。。

【】二：这个命令可以使系统起死回生还是把隔离sfc.exe还原出来再次中毒？

over，上图片

中毒文件的oep截图

插入的VM_code，只为起个病毒线程

晕晕的就走到了oep

看40583a，是不是不一样呢？

修复的文件微点不会报警了，但是也被感染废了，被感染病毒的程序微点直接干掉，相对在等的用杀毒软件去感染病毒要棋高一着，带虚拟机的东西，迟早会出的，没办法的事情，想的开点吧。。。。。

平不孤独

Sality感染代码
0040A206 8DBD 6A144000 lea    edi, dword ptr [ebp+40146A]
0040A20C 57             push edi
0040A20D 68 00800000    push 8000
0040A212 6A 00          push 0
0040A214 6A 04          push 4
0040A216 6A 00          push 0
0040A218 6A FF          push -1
0040A21A FF95 C4134000 call dword ptr [ebp+4013C4]          ; CreateFileMappingA
0040A220 8DBD 58144000 lea    edi, dword ptr [ebp+401458]
0040A226 57             push edi
0040A227 68 00040100    push 10400                         ; UNICODE "CTURE=x86"
0040A22C 6A 00          push 0
0040A22E 6A 04          push 4
0040A230 6A 00          push 0
0040A232 6A FF          push -1
0040A234 FF95 C4134000 call dword ptr [ebp+4013C4]          ; CreateFileMappingA
0040A23A 85C0          test eax, eax
0040A23C 74 3A          je    short 0040A278
0040A23E 68 00040100    push 10400                         ; UNICODE "CTURE=x86"
0040A243 6A 00          push 0
0040A245 6A 00          push 0
0040A247 6A 06          push 6
0040A249 50             push eax
0040A24A FF95 49144000 call dword ptr [ebp+401449]          ; MapViewOfFile
0040A250 85C0          test eax, eax
0040A252 74 24          je    short 0040A278
0040A254 8985 92144000 mov    dword ptr [ebp+401492], eax
0040A25A 80BD CF174000 0>cmp    byte ptr [ebp+4017CF], 1
0040A261 75 15          jnz    short 0040A278
0040A263 B9 48C50000    mov    ecx, 0C548
0040A268 8DB5 00104000 lea    esi, dword ptr [ebp+401000]
0040A26E 8BF8          mov    edi, eax
0040A270 8B06          mov    eax, dword ptr [esi]
0040A272 3907          cmp    dword ptr [edi], eax
0040A274 74 02          je    short 0040A278
0040A276 F3:A4          rep    movs byte ptr es:[edi], byte ptr>
0040A278 8D85 96144000 lea    eax, dword ptr [ebp+401496]
0040A27E 50             push eax
0040A27F 6A 00          push 0
0040A281 89AD 96144000 mov    dword ptr [ebp+401496], ebp
0040A287 FFB5 96144000 push dword ptr [ebp+401496]
0040A28D 8D85 D0144000 lea    eax, dword ptr [ebp+4014D0]
0040A293 50             push eax
0040A294 6A 00          push 0
0040A296 6A 00          push 0
0040A298 FF95 E6134000 call dword ptr [ebp+4013E6]          ; CreateThread
0040A29E 80BD CF174000 0>cmp    byte ptr [ebp+4017CF], 0
0040A2A5 75 0A          jnz    short 0040A2B1
0040A2A7 6A FF          push -1
0040A2A9 FF95 53144000 call dword ptr [ebp+401453]
0040A2AF ^ EB ED          jmp    short 0040A29E
0040A2B1 6A 0C          push 0C
0040A2B3 FF95 53144000 call dword ptr [ebp+401453]          ; Sleep
0040A2B9 83BD CC144000 0>cmp    dword ptr [ebp+4014CC], 1
0040A2C0 ^ 75 DC          jnz    short 0040A29E
0040A2C2 61             popad
0040A2C3 B8 26114000    mov    eax, <模块入口点>
0040A2C8 FFE0          jmp    eax
0040A2CA 58             pop    eax
0040A2CB ^ EB F5          jmp    short 0040A2C2
0040A2CD > 85C0          test eax, eax
0040A2CF ^ 74 F9          je    short 0040A2CA
0040A2D1 C3             retn

[ Last edited by 点饭的百度空间 on 2009-1-9 at 16:38 ]

作者: 御剑临风 时间: 2009-1-9 11:45
哈哈闲人又开始工作了不能停止哦，发现问题请通知微点客服啊

作者: 御剑临风 时间: 2009-1-9 11:49
有很多的所谓测试病毒在虚拟机上测试的有意让微点出故障

但是记住一点你是电脑的主人你怎么搞都可以你还可以更直接的卸载微点

但是病毒通过其他方式进来他可没有你那么聪明啊！！！！！！

作者: keyoushi 时间: 2009-1-9 15:53
首先，关闭U盘自动播放；第二，在所有盘符对U盘病毒进行免疫先，第三，尽量不要双击打开任何程序和盘符，右键；第四，打开之前先扫描U盘
这是说过无数遍的话了.............
另外，KIS 2009和微点都完全防得住

作者: fengyang 时间: 2009-1-9 16:17
病毒越来越厉害

作者: 御剑临风 时间: 2009-1-9 18:02
病毒没有人聪明他还是人搞出来的。。

作者: 点饭的百度空间 时间: 2009-1-16 13:32
网友评论：

提拉米苏～等待  2009-01-09 16:33
最讨厌病毒了
痛恨啊

_achillis  2009-01-09 17:49
感染才是王道

剑幻飞影  2009-01-09 17:58
呵呵，又有超级病毒了。

81552640  2009-01-09 19:14
感染真的很难搞！

xxyyzas123 2009-01-09 21:59
终于要走向虚拟化了...

shineastdh  2009-01-09 23:07
虚拟机查毒没法解决根本问题

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn