点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 杀毒软件前线崩溃 超强虚拟机感染型病毒大开杀戒!
北京林业大学登天家园
作者: bjfuzh 时间: 2008-11-22 12:24 标题: 让你电脑崩溃的病毒
让你电脑崩溃的病毒昨天,我同学拿U盘到11号楼后面“文成杰座”下面的打印店(小北门那,旁边是理发店和文具店)去打东西,
结果中了个病毒:“Virus.Win32.Sality.aa ”,它最大的毒性就在存在u盘中,只要一插在电脑上,一打开,卡巴斯基马上崩溃,之前任何杀毒软件都没杀出来,然后马上感染电脑里所有的exe文件,使它们全成为病毒,这时你再杀毒时,所有被感染的文件全被杀掉,注册表也全被修改,你的杀毒软件会一直叫个不停,我那时叫了快一个小时了,太恐怖了!!!
然后你的电脑重启,接着,你的任务管理器打不开了,系统运行速度严重变慢,这时你再怎么杀毒已经晚了!
所有在此告诉大家,千万别去那打印东西了,中了就完了,我现在正准备重装系统,但在网上查了,好像重装后还会有问题,请哪位高手帮忙解决下,
幸好我的是VISTA,我同学那个XP的电脑是卡巴斯基直接屏蔽了,结果马上重装。可恶的病毒,害死我们这些无辜的人啦。
大家要引以为戒呀! :(
这是我电脑杀毒的结果:
已清除: 病毒 Virus.Win32.Sality.aa 文件: G:\Downloads\CCTVRegOcx.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\0.Kaspersky.卡巴斯基6.0杀毒软件[推荐安装,校内升级]\卡巴斯基6.0安装程序Workstation版本\安装程序\klcfginst.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: H:\yuyrt.pif
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\0.Kaspersky.卡巴斯基6.0杀毒软件[推荐安装,校内升级]\卡巴斯基6.0安装程序Workstation版本\安装程序\setup.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: C:\Program Files\Common Files\microsoft shared\IME12\IMESC\IMSCMIG.EXE
已清除: 病毒 Virus.Win32.Sality.aa 文件: D:\AutoCAD 2008\AcSignApply.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: C:\Program Files\360Safebox\360safebox.exe
已清除: 病毒 Virus.Win32.Sality.aa 文件: G:\电视软件\pplivesetup_1.9.47.exe
中毒太多省略...
原文:http://bbs.dengtian.com/viewthre ... able&tid=263442
Virus.Win32.Sality.aa 带虚拟机感染的病毒:
 
 
金山毒霸李铁军:超强感染型病毒Win32.Sality.aa病毒告诉我们:木马尚未雄霸天下
发现结束进程后,任务管理器和注册表编辑器仍不能运行。显然,这种方法不能解决。
在虚拟机里安装毒霸2009,再升级到最新,重启系统全盘杀毒,清除了上百个Win32.Sality.aa病毒之后问题解决。另外发现这个【Win32.Sality.aa病毒目前只能使用隔离】,需要使用备份来恢复感染Win32.Sality.aa病毒的程序文件。Win32.Sality.aa病毒感染严重的电脑,消灭病毒之后,还需要重装受损的应用程序,如果操作系统被破坏的较严重,可能需要重装,或者运行【sfc /scannow来修复损坏的EXE程序】。
金山网友:病毒破坏了金山的升级程序 一但中了无法升级
不过可以升级清理专家 急救箱也能正常使用 或者推出专杀??
2009-01-07 18:37 | 百度网友 网安石:
现在似乎难以将病毒从EXE上剥离下来,上次同学中毒,几十个G的软件都废了
李铁军,碰到虚拟机感染型傻了吧 (Win32.Sality.aa 微点棋高一着)
原文:http://hi.baidu.com/micropoint/b ... 4de78c471064fe.html
【】一:为什么会只能够隔离?云安全很好很强大。。。。。
【】二:这个命令可以使系统起死回生还是把隔离sfc.exe还原出来再次中毒?
over,上图片
中毒文件的oep截图
插入的VM_code,只为起个病毒线程
晕晕的就走到了oep
看40583a,是不是不一样呢?
修复的文件微点不会报警了,但是也被感染废了,被感染病毒的程序微点直接干掉,相对在等的用杀毒软件去感染病毒要棋高一着,带虚拟机的东西,迟早会出的,没办法的事情,想的开点吧。。。。。
平不孤独
Sality感染代码
0040A206 8DBD 6A144000 lea edi, dword ptr [ebp+40146A]
0040A20C 57 push edi
0040A20D 68 00800000 push 8000
0040A212 6A 00 push 0
0040A214 6A 04 push 4
0040A216 6A 00 push 0
0040A218 6A FF push -1
0040A21A FF95 C4134000 call dword ptr [ebp+4013C4] ; CreateFileMappingA
0040A220 8DBD 58144000 lea edi, dword ptr [ebp+401458]
0040A226 57 push edi
0040A227 68 00040100 push 10400 ; UNICODE "CTURE=x86"
0040A22C 6A 00 push 0
0040A22E 6A 04 push 4
0040A230 6A 00 push 0
0040A232 6A FF push -1
0040A234 FF95 C4134000 call dword ptr [ebp+4013C4] ; CreateFileMappingA
0040A23A 85C0 test eax, eax
0040A23C 74 3A je short 0040A278
0040A23E 68 00040100 push 10400 ; UNICODE "CTURE=x86"
0040A243 6A 00 push 0
0040A245 6A 00 push 0
0040A247 6A 06 push 6
0040A249 50 push eax
0040A24A FF95 49144000 call dword ptr [ebp+401449] ; MapViewOfFile
0040A250 85C0 test eax, eax
0040A252 74 24 je short 0040A278
0040A254 8985 92144000 mov dword ptr [ebp+401492], eax
0040A25A 80BD CF174000 0>cmp byte ptr [ebp+4017CF], 1
0040A261 75 15 jnz short 0040A278
0040A263 B9 48C50000 mov ecx, 0C548
0040A268 8DB5 00104000 lea esi, dword ptr [ebp+401000]
0040A26E 8BF8 mov edi, eax
0040A270 8B06 mov eax, dword ptr [esi]
0040A272 3907 cmp dword ptr [edi], eax
0040A274 74 02 je short 0040A278
0040A276 F3:A4 rep movs byte ptr es:[edi], byte ptr>
0040A278 8D85 96144000 lea eax, dword ptr [ebp+401496]
0040A27E 50 push eax
0040A27F 6A 00 push 0
0040A281 89AD 96144000 mov dword ptr [ebp+401496], ebp
0040A287 FFB5 96144000 push dword ptr [ebp+401496]
0040A28D 8D85 D0144000 lea eax, dword ptr [ebp+4014D0]
0040A293 50 push eax
0040A294 6A 00 push 0
0040A296 6A 00 push 0
0040A298 FF95 E6134000 call dword ptr [ebp+4013E6] ; CreateThread
0040A29E 80BD CF174000 0>cmp byte ptr [ebp+4017CF], 0
0040A2A5 75 0A jnz short 0040A2B1
0040A2A7 6A FF push -1
0040A2A9 FF95 53144000 call dword ptr [ebp+401453]
0040A2AF ^ EB ED jmp short 0040A29E
0040A2B1 6A 0C push 0C
0040A2B3 FF95 53144000 call dword ptr [ebp+401453] ; Sleep
0040A2B9 83BD CC144000 0>cmp dword ptr [ebp+4014CC], 1
0040A2C0 ^ 75 DC jnz short 0040A29E
0040A2C2 61 popad
0040A2C3 B8 26114000 mov eax, <模块入口点>
0040A2C8 FFE0 jmp eax
0040A2CA 58 pop eax
0040A2CB ^ EB F5 jmp short 0040A2C2
0040A2CD > 85C0 test eax, eax
0040A2CF ^ 74 F9 je short 0040A2CA
0040A2D1 C3 retn
[ Last edited by 点饭的百度空间 on 2009-1-9 at 16:38 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2009-1-9 11:40 |
|
御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#2
哈哈 闲人又开始工作了 不能停止哦,发现问题请通知微点客服啊
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-9 11:45 |
|
御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#3
有很多的所谓测试病毒在虚拟机上测试的 有意让微点出故障
但是记住一点 你是电脑的主人 你怎么搞都可以 你还可以更直接的卸载微点
但是病毒通过其他方式进来 他可没有你那么聪明啊!!!!!!
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-9 11:49 |
|
keyoushi
中级用户
积分 266
发帖 264
注册 2007-2-2
|
#4
首先,关闭U盘自动播放;第二,在所有盘符对U盘病毒进行免疫先,第三,尽量不要双击打开任何程序和盘符,右键;第四,打开之前先扫描U盘
这是说过无数遍的话了.............
另外,KIS 2009和微点都完全防得住
| |
※ ※ ※ 本文纯属【keyoushi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
用鼠标双击我的钱包,选中一张一百元,然后不停地Ctrl+C,再不停地Ctrl+V... |
|
|
|
2009-1-9 15:53 |
|
fengyang
注册用户
积分 53
发帖 53
注册 2008-10-28
|
#5
病毒越来越厉害
| |
※ ※ ※ 本文纯属【fengyang】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-9 16:17 |
|
御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#6
病毒没有人聪明 他还是人搞出来的。。
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-9 18:02 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#7
网友评论:
提拉米苏~等待 2009-01-09 16:33
最讨厌病毒了
痛恨啊
_achillis 2009-01-09 17:49
感染才是王道
剑幻飞影 2009-01-09 17:58
呵呵,又有超级病毒了。
81552640 2009-01-09 19:14
感染真的很难搞!
xxyyzas123 2009-01-09 21:59
终于要走向虚拟化了...
shineastdh 2009-01-09 23:07
虚拟机查毒没法解决根本问题
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
|
2009-1-16 13:32 |
|
