微点交流论坛 - 主动防御 - 恶意程序《机器猫》

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 恶意程序《机器猫》

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 恶意程序《机器猫》

报已知病毒的只有2家。。

友情提醒运行新病毒有风险请勿模仿! 附其他人的第一时间测试结果:

卡巴7.0主动防御报风险软件如用户点阻止可以过关

超越传统hips的瑞星2008!

---------------------------------------------分割线----------------------------------------------------

病毒名称

Malware.Win32.DoRaeMon.a

捕获时间

2007-12-12

病毒症状

   该病毒使用VC++编写的恶意程序，程序未经过加壳，长度225,280字节，图标为动画片<机器猫>中哆啦A梦的头像，病毒扩展名为exe，主要通过可移动存储、文件捆绑等方式传播。


病毒分析

   该程序被激活后，检查自启动项下是否存在VKidding_vk子键，如果不存在则添加名为VKidding_vk启动项，其映射路径为C:\VKidding\kid.exe,以达到随系统启动的目的；播放病毒自身资源中动画片《机器猫》中一段插曲音乐，同时修改注册表项使Windows任务管理器不能正常使用；加载动态链接库HOOK.DLL通过全局键盘和鼠标钩子截获键盘和鼠标消息使其不能被Windows操作系统正常接收处理,将显示器屏幕打印成蓝色并隐藏任务栏；依次遍历C盘到L盘在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding，目录中包括autorun.inf、HOOK.DLL、kid.exe，使用Windows自动播放功能使病毒传播。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

可移动存储、文件捆绑

安全提示

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件.”，请直接选择删除处理（如图1）；

大刀向病毒砍去！我的微点

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Malware.Win32.DoRaeMon.a”，请直接选择删除（如图2）。

未使用微点主动防御软件的用户：

   1、专家建议不要在不明站点下载非官方版本的程序软件进行安装，以便病毒通过捆绑的方式进入您的系统；

   2、建议关闭U盘自动播放，具体操作步骤：开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到"关闭自动播放">双击>选择"已启用"。

   3、开启windows自动更新，及时打好漏洞补丁。

技术细节

中毒之后的计算机将播放动画片《机器猫》中一段格式wav的插曲音乐，伴随着音乐屏幕瞬间变成蓝色，在此病毒通过hook消息的方式使得键盘和鼠标部分功能失效，无法激活任何应用程序，由于windows自身机制此方式无法hook键盘CTRL+ALT+DEL组合键的消息，所以任务管理器才会被病毒作者禁用；重启计算机后由于病毒启动项加载病毒，依然导致上述现象发生，使得用户系统瘫痪。

病毒修改的注册表项：
项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
键值：VKidding_vk
指向文件：C:\VKidding\kid.exe

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值：DisableTaskMgr
指向变量：1

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-14 13:14

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#2

很遗憾没看见瑞星08的酱菜表现，

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-14 13:23

lotei
版主

病毒区地方父母官

积分 776
发帖 775
注册 2006-10-14
来自被人们遗忘了的村庄

#3

呵呵！可爱的哆啦A梦病毒！

※ ※ ※ 本文纯属【lotei】个人意见，与【微点交流论坛】立场无关※ ※ ※

让自己更加睿智，其实看透了！你就放下了！

2007-12-14 13:46

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

Quote:

Originally posted by lotei at 2007-12-14 13:46:
呵呵！可爱的哆啦A梦病毒！

支持版主! 楼上的头像很特别

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-14 13:58

sidineyqiao
版主

体育娱乐休闲版主

积分 1697
发帖 1584
注册 2007-8-2
来自庆祝微点上市一周年624-630

#5

瑞星也过了吗？有点假。

不过顶一下。。总算瑞星在关键时候没给国产软件丢脸。。

希望不要有内部操作就好了啊

※ ※ ※ 本文纯属【sidineyqiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

主动出击，防御未然！

www.micropoint.cn
bbs.micropoint.cn

2007-12-14 14:10

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

Quote:

Originally posted by sidineyqiao at 2007-12-14 14:10:
瑞星也过了吗？有点假。
总算瑞星在关键时候没给国产软件丢脸。。

rs=瑞星

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-14 14:23

popeye-pavel
新手上路

积分 8
发帖 8
注册 2007-12-12

#7

呵呵

※ ※ ※ 本文纯属【popeye-pavel】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-14 17:52

逻辑锁
新手上路

积分 2
发帖 2
注册 2009-2-25
来自江民

#8

顶微点

※ ※ ※ 本文纯属【逻辑锁】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-25 11:24

专业路过
中级用户

积分 375
发帖 373
注册 2009-2-15

#9

好漂亮的机器猫啊，真可爱。

※ ※ ※ 本文纯属【专业路过】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶木有文化，不要嘲笑偶哦。

2009-2-25 21:37

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号