分类: 病毒分析预览模式: 普通 | 列表

假冒瑞星U盘病毒-RavMon.exe

    
       在一台电脑上截获的病毒样本,通过U盘传播。大小为48kb。

1,运行后复制自己到各个分区根目录下,同时生产autoruns.inf,实现双击分区启动病毒
2,copy自己到windows,c:/windows/SVCHOST.EXE,运行之,释放c:/windows/MDM.EXE。

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1818

假冒记事本U盘病毒-Notepad.exe

       Notepad.exe这是一个U盘传播的病毒,1.44M,不知道加了多少壳的东西,策划那故乡图标伪装成文件夹,启动后会自动打开所在的文件夹,并没有判断自己是否在分区根目录。这个病毒运行后至少有3分钟才会连接网络,需要点耐心,哈哈。

特征:
1,运行Notepad.exe后,%SYSTEMROOT%system32建立随机命名文件夹935F0D,释放C:\WINDOWS\system32\935F0D\96B69A.EXE,
2,在%USERPROFILE%「开始」菜单\程序\启动中建立图标为文件夹文件名为空格的快捷方式,指向c:\windows\system32\935f0d\96b69a.exe

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1922

假冒迅雷下载者病毒--Thunder.exe

      昨天因为有事情,在www.51job.com瞎逛,看有没有适合英语翻译的工作,不知道是在那个网页突然卡巴斯基报警说有病毒,今天检查了下发现网马是http://net.fql12.cn/lz.htm,肯定是一个下载者了。昨天我想卡巴都拦截了就没在意了。
    今天我跑来办公室,一打开电脑,突然发现有提示,询问我是否启动Thunder.exe,我一看是迅雷啊,就觉得奇怪,但是还是点击了允许,差一点点击了建立永久规则,慢慢的我发觉不对了,怎么这个迅雷还建立系统服务的?后面的情况验证了我的猜测,这是一个彻彻底底的下载者病毒,并且是从http://net.fql12.cn/lz.htm上面感染的,哈哈,这个Thunder.exe下载者还是免杀的呢!卡巴2009对运行着的Thunder.exe没有丝毫的反应!!
lz.htm被卡巴拦截
点击放大图片

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 1 | 引用: 0 | 查看次数: 2809
      获取这个样本真是非常意外。今日打开我的纳米盘,突然发现有个程序weiai.rar不是我自己传的,下载下来之后测试发现大有名堂。解压缩,卡巴马上就报病毒,说是灰鸽子,测试发现这是一个能够U盘传播的下载者病毒来的,更离奇的是我从管理里面删除了这个资源,但是只是从我的列表中消失了,其下载地址同样可以下载,纳米盘看来有点危险了。
    简单测试,其表现非常强劲,延续先前磁碟机的风格,干掉许多安全软件,驱动干掉SSM,模拟点击干掉icesword,上次写博时还说这个没有关闭autoruns,现在已经是其关注对象,可能sreng是新版的原因并没被破坏,Wsyscheck驱动加载被破坏。

其表现为:
在各个根目录下释放
X:weiai.exe
X:autoiruns.inf
autoiruns.inf的内容:
[AutoRun] Open=weiai.exe Shell\Open=打开(&O) Shell\Open\Command=weiai.exe Shell\Open\Default=1 Shell\Explore=资源管理器(&X) Shell\Explore\Command=weiai.exe
访问8886663.com/www.txt获取下载病毒指令,www.txt的内容为
http://121.10.104.147:88/0.exe,

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 1 | 引用: 0 | 查看次数: 2405

trojan-downloader.win32.vb.hoa病毒简要分析

    
     行为表现:
1, 建立与U盘中文件夹同名的exe文件,大小为1.44m。
2,释放文件c:\windows\system32-com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,og.dll,og.EDT,RegEx.fnr,shell.fne,spec.fne,ul.dll,XP-3196B69A。EXE样本不全,只是截获到一部分功能。
3, XP-3196B69A.EXE是一个下载者,运行都首先打开同名的文件夹,之后添加启动项

查看更多...

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1456

U盘病毒MSRS.EXE的解决办法

MSRS.EXE,U盘传播的下载者。

此病毒windows清理助手已经完全可以清除,这个病毒变种繁多,我的这个分析只是其中的一种,可能与你的情况有差别,如果清理后还有问题,欢迎给我的邮箱发你的病毒样本!

一个新样本

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 2 | 引用: 0 | 查看次数: 3541
        这个病毒,是一个下载者来的,主要是下载当前最为流行的盗密码的Trojan-GameThief.Win32.OnLineGames病毒。
     这个病毒的几个主要行为特点:
1,感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。
2,释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。
3,%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。

查看更多...

Tags: 解决办法

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 8372
病毒样本:.exe
大小:18.3KB
MD5: A372676453E6A14310EB923FE1BE633A
Upack V0.37 -> Dwing
类型:下载者

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 6898
病毒样本:ntldr.exe
大小:28,000 字节
MD5: B08791CB82AB0E9065CE2CBE3864300D
Upack V0.36-V0.37 (DLL) -> Dwing
传播方式:U盘传播

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 5916

Worm.Win32.Agent.vq(auto.exe)的分析

样本文件:auto.exe
大小:12,449 字节
传播方式:U盘
病毒类型:蠕虫下载者
病毒名称:Worm.Win32.Agent.vq

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1868

Trojan.Win32.Edog.t(机器狗变种)的分析

File: u.exe
Size: 12,104 字节
Modified: 2008年2月8日, 21:00:12
MD5: MD5: 94732FDF4E53D2DF9B65E593E9571D00
加壳工具:Upack V0.37 -> Dwing

查看更多...

Tags: 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 2504

Trojan.PSW.Win32.OnLineGames的分析(2)

病毒样本:auto.exe
传播方式:U盘
大小:21Kb
类型:下载者
加壳软件:aspack212r

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1395
病毒样本:
Ghost.pif , 20k,瑞星报Worm.Delf.ha
PegeFile.pif ,22k, 瑞星报Worm.Win32.Agent.zdf
2个行为相似,就放一起了
传播途径:U盘

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1517

Worm.Win32.D.i.s.k.G.e.n(磁.碟.机)的分析

说明:由于新版磁碟机关闭窗口带有diskgen或者磁碟机的游览器窗口,所以把原标题的标题diskgen和磁碟机换成了D.i.s.k.G.e.n和磁.碟.机,猫抓老鼠的游戏!
病毒特点:
1,
病毒样本:pagefile.pif
大小:91,648 字节

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 2698
病毒属性:
样本名称:tubjsoe.exe
大小:43,612 字节
传播途径:U盘传播
类型:蠕虫,下载者

查看更多...

Tags: U盘病毒 解决办法 分析

分类:病毒分析 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 3877