» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » [转]诡异的新翠微居小说变种   作者: 标题: [转]诡异的新翠微居小说变种 snhao 银牌会员 积分 1791 发帖 1782 注册 2007-6-12 #1  [转]诡异的新翠微居小说变种 2008-11-11 20:32有人给了我个样本让帮忙杀毒，我一看，又是翠微居小说，我欣然接受，以为还像前两次一样，找个特征串写个AVZ脚本就行了。结果在虚拟机里染毒后测试，发现AVZ根本打不开，报“不是有效的Win32程序”，再试其它的安全软件，也都是一样。之后发现在Windows目录下有两个名字怪异的txt文件，双击打开发现是PE文件，再仔细看，居然是驱动。莫非是这些驱动在关闭安全软件？恢复虚拟机，打开hips，禁止加载驱动，试下AVZ，可以运行。看来就是那两个驱动在搞鬼。为了找个解决方案，再次进行了感染。可是工具不能运行，那怎么删除那两个保护驱动呢？我不抱任何希望地双击了一个扩展名为txt的驱动，在打开的记事本中胡乱地按了几下键盘，Ctrl+S，居然能保存！这样破坏了PE结构，重启后驱动就加载不了啦。破坏掉另外一个驱动，重启。重启后再试AVZ，真的打开了。能运行AVZ，接下来的就好说了。杀！ 感觉真是诡异，加载中的驱动居然可以修改。令人一度感到无计可施的驱动竟然用这么简单的办法就破掉了。嗯，得好好研究一下。 作者博客：http://hi.baidu.com/kis2009 ※ ※ ※ 本文纯属【snhao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-12 16:54 snhao 银牌会员 积分 1791 发帖 1782 注册 2007-6-12 #2   最近翠微居小说又出新变种，他会在%windows%目录下释放扩展名为txt的驱动并加载，使得许多程序无法运行。此病毒还会在%windows%目录下生成图标为WinRAR图标的程序，此程序会感染其它程序，下载IE图标、文件名随机的广告弹窗程序。 中此病毒的用户可以如下处理： 查找%windows%目录下所有长度为3044的txt文件，双击即可用记事本打开，会看到“MZ……This program cannot be run in DOS mode.……”。可在“MZ”前随意写入文本，保存文件。对所有此类文件都这样处理。这样就破坏了它的驱动。完成后立即重启。 重启后运行AVZ，在AVZ中执行附件中的脚本。脚本执行成功后会自动重启。由于病毒运行时可能还在生成新的文件，请多查杀几次。 对于感染其它程序的病毒文件和被感染的文件脚本进行了重命名，在后缀名后加了下划线“_”，以便以后卡巴修复。windows目录下长度为24576字节、文件名随机的文件可能是纯病毒文件，您可以酌情删除。 脚本只对C盘和D盘进行了扫描，如需对其它盘扫描请在脚本下方 ScanDir('C:', true); ScanDir('D:', true); 后添加ScanDir('X:', true); 其中X表示想要扫描的盘符。 最后请修复安全模式，可以使用之前发过的AVZ脚本。 脚本内容如下： // 添加日志 Procedure AddAlarm(AFileName, AMsg : string); begin AddtoLog('>>>>> '+AFileName+' 被以下病毒感染 '+AMsg); end; // 扫描文件 Procedure ScanFile(AFileName : string); begin SetStatusBarText(AFileName); LoadFileToBuffer(AFileName); if SearchSign('81 7D 08 8C 00 00 00 59 75 16 6A 50 FF 15 6C 70 40 00 57 57 56 FF 75 0C 57 57 FF 15 B0 73 40 00', 21064, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序');    DeleteFile(AFileName); end; if SearchSign('81 7D 08 8C 00 00 00 59 75 16 6A 50 FF 15 6C 70 40 00 57 57 56 FF 75 0C 57 57 FF 15 B0 73 40 00', 21072, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序');    DeleteFile(AFileName); end; if SearchSign('81 7D 08 8C 00 00 00 59 75 16 6A 50 FF 15 6C 70 40 00 57 57 56 FF 75 0C 57 57 FF 15 B0 73 40 00', 21077, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序');    DeleteFile(AFileName); end; if SearchSign('81 7D 08 8C 00 00 00 59 75 16 6A 50 FF 15 6C 70 40 00 57 57 56 FF 75 0C 57 57 FF 15 B0 73 40 00', 21080, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序');    DeleteFile(AFileName); end; if SearchSign('85 F6 59 59 74 1D 56 68 FF 7F 00 00 6A 01 68 E8 41 40 00 FF 15 74 32 40 00 56 FF 15 6C 32 40 00', 9432, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序');    DeleteFile(AFileName); end; if SearchSign('85 F6 59 59 74 1D 56 68 FF 7F 00 00 6A 01 68 E8 41 40 00 FF 15 74 32 40 00 56 FF 15 6C 32 40 00', 7051, 33) >= 0 then begin    AddAlarm(AFileName, '弹窗广告程序 - 进行重命名处理。');    CopyFile(AFileName, AFileName + '_');    DeleteFile(AFileName); end; FreeBuffer; end; // 扫描目录 (递归扫描子目录) Procedure ScanDir(ADirName : string; AScanSubDir : boolean); var FS : TFileSearch; begin ADirName := NormalDir(ADirName); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*.*'); while FS.Found do begin if FS.IsDir then begin if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then    ScanDir(ADirName + FS.FileName, AScanSubDir) end else ScanFile(ADirName + FS.FileName);    FS.FindNext; end; FS.Free; end; begin ScanDir('C:', true); ScanDir('D:', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ※ ※ ※ 本文纯属【snhao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-12 16:55 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #3   没找到~ ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-11-13 18:21 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #4   神通广大无敌搜索耳聪目灵的楼上说找不到，那我就更找不到了。。。。。。。。。。。一切路过。。。 ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-13 20:12 yurong7777777 高级用户 积分 536 发帖 534 注册 2008-9-12 #5   很专业 ※ ※ ※ 本文纯属【yurong7777777】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-14 08:55 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #6   貌似微点没处理好 再试试 [ Last edited by 点饭的百度空间 on 2008-11-14 at 11:18 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-11-14 10:49 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号