微点交流论坛 - 微点主动防御软件 - 微点竟然无法觉察的一个病毒？！(微点已完美解决)

微点交流论坛 » 微点主动防御软件 » 微点竟然无法觉察的一个病毒？！(微点已完美解决)

1/4

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#1 微点竟然无法觉察的一个病毒？！(微点已完美解决)

【CISRT2007029】病毒 internat.exe _.de setup.exe autorun.inf 解决方案

档案编号：CISRT2007029
病毒名称：Worm.Win32.Delf.bg（Kaspersky）
病毒别名：Worm.MYGOD.a.30001（毒霸）
Worm.Delf.dy（瑞星）
病毒大小：18,432 字节（30,001 字节）
加壳方式：PE_Patch.UPX UPX
样本MD5：c773bd861b2c32d88da59cc3f6c4a604（00ea5b91a6166c096a1d7e5816183eab）
样本SHA1：58c26dd583e3c70f5fde5d7892bedd9684d705b5（5ec2b00e7cec6edc34e6b2747b732fe02aa16954）
发现时间：2007.2
更新时间：2007.2.7
关联病毒：
传播方式：恶意网页、其它病毒下载，感染exe文件，可通过移动存储设备（U盘等）传播

技术分析
==========

病毒运行后释放自身副本到系统system目录：
%Windows%\system\internat.exe
并运行，加开关参数/sleepdown。

使用批处理{原文件名}.bat删除自身原文件，{原文件名}.bat内容：

[Copy to clipboard]
CODE:
:try
del "exe"
if exist "exe" goto try
del %0

向各分区目录复制副本，创建autorun.inf：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：

[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

病毒感染分系统分区下的所有exe文件，使用dir命令收集非系统分区下的所有exe文件列表：

[Copy to clipboard]
CODE:
dir *.exe /s /b >%Windows%\win.log

被感染文件运行后释放病毒体（大小30001字节）到C盘根目录并运行：
C:\_.de

%Windows%\system\internat.exe开关参数/update，尝试访问网络下载其它病毒或恶意程序，保存到以下位置并运行：
%Windows%\system\SYSTEM32.vxd（加密文件列表）
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

病毒内发现有如下信息：

[Copy to clipboard]
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴我恨你...............

清除步骤
==========

1. 结束病毒进程：
%Windows%\system\internat.exe

2. 删除病毒文件：
%Windows%\system\internat.exe

3. 通过文件夹树形结构目录进入分区根目录，删除病毒文件：
X:\setup.exe
X:\autorun.inf

4. 删除C盘根目录下的病毒文件（可能存在）：
C:\_.de

5. 删除病毒下载的其它病毒或恶意程序（可能存在）：
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件

我中了这样的病毒，现在c:\wndows\system 下面还能看到internat.exe病毒（隐藏属性系统属性大小37K）在微点里面它只作为一个其他软件来对待。没有任何举动。

[ Last edited by 9041656 on 2007-2-17 at 02:10 ]

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 20:25

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

请问楼主微点的版本号，是什么操作系统？

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-16 20:30

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#3 回复回复：

程序版本： 1.2.10569.0036
特征版本： 1.4.215.070210
更新时间： 2007-02-11 9:19:18

操作系统：windows XP SP2

给我答案啊！

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 20:37

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

请楼主将这个样本发到微点的virus@micropoint.com.cn病毒上报邮箱中，我们将在测试后告知，谢谢对微点的支持

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-16 20:47

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#5

汗。。。。。
你早说。。。。我手动删除了。。。。

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 20:53

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#6

再说一下啊。。。刚刚用Recover4All Professional恢复那个文件，想传给你的。就在这个时候微点报警了，把Recover4All Professional 和 internat.exe 一起删除了。。。。
汗

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 20:56

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#7

如果楼主再次发现这个样本，请发到我们的病毒上报邮箱，我们将进一步测试，并告知结果，谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-16 20:57

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#8

你们回复的速度挺快的嘛

不过好像你忽略我6楼的话了。。。

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 20:59

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#9

微点的报警记录是什么，有病毒名么？

Recover4All Professional的版本号是多少？是否官方网址下载，如有连接请发给我们，谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-2-16 21:00

9041656
新手上路

积分 34
发帖 34
注册 2007-2-16

#10

等一下都发给你

※ ※ ※ 本文纯属【9041656】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-16 21:03

1/4

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号