cn_990
注册用户
积分 125
发帖 121
注册 2010-1-12
|
#1 不得了啊,微点防不住“极虎”病毒?
爱毒霸社区的文章,原址:http://bbs.duba.net/thread-22139833-1-1.html
近期,毒霸捕获到高危的感染型下载者病毒,以下是用户的求助:
1)PING.EXE的进程在不停的跳动,无法结束
2)准备装杀软,发现绝大部分杀软网站都无法访问
3)装360杀毒,安装后无法启动杀软,双击无反应
4)装瑞星2010,能安装,重新启动后无法正常启动,所有监控关闭
5)装费尔能杀,能检测到注册表异常,修复后一直报病毒,能删除,但是一直在不停的删除
6)安全模式还没加载完就自动重启
7)微点、瑞星主动防御启动失败
8)360:无法启动,点后也没反应(进程能看到)
监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除,从而导致用户的系统文件受损。
病毒危害:
该病毒会感染用户机器上的所有可执行文件,并联网下载大量盗号、广告类软件,严重危害到系统的安全,同时该病毒非常隐蔽,没有特定的进程,而采用"线程" 插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。
如图所示是在冰刃中查看到的Svchost.exe模块信息:
图片1.png
下载 (22.54 KB)
4 小时前
中毒后的现象:
用户机器出现"很卡"的现象,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。如果清除病毒不彻底的话,用户可能会在重新打开压缩文件时再次中毒。
图片2.png
下载 (17.88 KB)
4 小时前
同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程。
图片3.png
下载 (9.31 KB)
4 小时前
2.正常的系统文件appmgmts.dll被病毒替换:(正常的appmgmts.dll有版本信息等而病毒释放的则没有)
图片4.png
下载 (14.25 KB)
4 小时前
3.系统中一些EXE文件无故变大,例如:看图软件ACDSee被感染前后,文件大小虽改变,但是文件修改时间没变,大部分用户无法发现病毒的潜伏体,一旦点击,后果不堪设想..
图片5.png
下载 (7.48 KB)
4 小时前
图片6.png
下载 (9.59 KB)
4 小时前
文件被感染后,多出了一个".tc节",如图所示:
图片7.png
下载 (16.89 KB)
4 小时前
该病毒还会感染html、htm、asp等网页文件:
图片8.png
下载 (21.55 KB)
4 小时前
感染后会在网页文件的末尾插入一段恶意的挂马网址:
图片9.png
下载 (32.41 KB)
4 小时前
更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去:
(盗用百度被黑时,李彦宏说的:始无前例啊,始无前例)
图片10.png
下载 (5.4 KB)
4 小时前
图中的HH.IDA.Pro.v5.2.rar是已经被感染后的文件,丝毫看不出破绽,因为系统时间也被病毒修复为以前的了...
网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并激活该病毒的新变种
http://208.53.151.219:8080/down/XXX.exe
该病毒的变种会伪装成快播播放器的图标,迷惑用户点击
图片11.png
下载 (6.31 KB)
4 小时前
无缘无故弹出网页文件,打开连接为:http://tj.nba1001.net:7777/tj/mac.html
利用$ipc查看局域网内的所有共享,并试图感染局域网的其他机器。(这里发现了久违的蠕虫特征)
系统被加载由病毒体释放的驱动文件,如果安装的杀软和该驱动有冲突,很容易造成用户机器蓝屏。
以下是病毒释放的驱动文件:
图片12.png
下载 (4.82 KB)
4 小时前
操作系统会弹出提示,关键系统文件被替换
图片13.png
下载 (52.78 KB)
4 小时前
9.毒霸实时防毒会报警,以下是运行病毒母体时毒霸拦截并清除:
图片14.png
下载 (75.15 KB)
4 小时前
10.急救箱检测到大量系统异常:
图片15.png
下载 (80.11 KB)
4 小时前
发现大量安全软件被映像劫持,系统文件被破坏:
图片16.png
下载 (83.27 KB)
4 小时前
| |
※ ※ ※ 本文纯属【cn_990】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2010-2-8 17:49 |
|
镜湖YES
银牌会员
积分 1225
发帖 1199
注册 2009-3-15
|
#2
关注。
还是让点饭的百度空间去找样本让大家瞧瞧。
| |
※ ※ ※ 本文纯属【镜湖YES】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-8 18:10 |
|
snhao
银牌会员
积分 1791
发帖 1782
注册 2007-6-12
|
#3
关注
| |
※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
东方微点论坛 |
|
|
|
2010-2-8 18:22 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2010-2-8 18:44 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
|
|
2010-2-8 19:13 |
|
cn_990
注册用户
积分 125
发帖 121
注册 2010-1-12
|
#6
| Quote: | Originally posted by Legend at 2010-2-8 18:44:
楼主测试病毒样本应该在微点正常能够运行的情况下来测试,中毒之后,病毒可能会阻止您安装安全软件。
请楼主将样本发送到 virus@micropoint.com.cn 邮箱,具体我们分析下。 |
|
我没中毒,也没有样本,只是在爱毒霸社区看到这个帖子才发到这里的。
| |
※ ※ ※ 本文纯属【cn_990】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-8 19:48 |
|
littlefritz
版主
微点帮帮团团长
积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
|
|
|
2010-2-8 20:16 |
|
饭桶小白
高级用户
积分 558
发帖 556
注册 2009-5-9
|
#8
人已经中弹了,再给别人穿防弹衣,就说人家的防弹衣质量不行!
| |
※ ※ ※ 本文纯属【饭桶小白】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-8 20:45 |
|
simonfour
高级用户
打酱油的!!
积分 926
发帖 926
注册 2008-3-8
|
#9
误导人的标题,,,,,,什么是防不住啊.......中毒了装不上杀软叫防不住????真是笑话
| |
※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-8 22:35 |
|
统一天下
禁止发言
积分 348
发帖 348
注册 2010-2-2
|
|
|
2010-2-9 04:24 |
|
