获取这个样本真是非常意外。今日打开我的纳米盘,突然发现有个程序weiai.rar不是我自己传的,下载下来之后测试发现大有名堂。解压缩,卡巴马上就报病毒,说是灰鸽子,测试发现这是一个能够U盘传播的下载者病毒来的,更离奇的是我从管理里面删除了这个资源,但是只是从我的列表中消失了,其下载地址同样可以下载,纳米盘看来有点危险了。经过简单测试,这个病毒虽然年事已高(2005年9月26修改),但是其表现依然非常强劲,延续先前磁碟机的风格,干掉许多安全软件,驱动干掉SSM,模拟点击干掉icesword,上次写博时还说这个没有关闭autoruns,现在已经是其关注对象,可能sreng是新版的原因并没被破坏,Wsyscheck驱动加载被破坏。
其表现为:在各个根目录下释放X:weiai.exeX:autoiruns.infautoiruns.inf的内容:[AutoRun] Open=weiai.exe Shell\Open=打开(&O) Shell\Open\Command=weiai.exe Shell\Open\Default=1 Shell\Explore=资源管理器(&X) Shell\Explore\Command=weiai.exe访问8886663.com/的内容为]动手前最好先掐掉网络。打开程序后,点击“映像劫持”,选择一个项目,右键,选择“跳转到”
之后新建名为system.exe的项,debugger的值可以设为ntsd -d。
回到autoruns,点击“appinit”,选择一项,右键“跳转到”。
选择“权限”,将其完全控制和读取设置为拒绝。把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run的权限同样设置为拒绝。(切记删除前导出键值备份)2,现在开始删除病毒体文件。可见这里有2个病毒驱动,第一个驱动是随机的,可能不一样。
现在复制我上面列出的“释放文件”名单,个案情况可能有出入,采用XDelBox删除。3,重启后,病毒已经不工作了。打开autoruns修复系统,删除“映像劫持”下的所有内容,释放下面2个键值的权限HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows删除run中的启动项和windows中AppInit_DLLs值的内容,清空c:\docume~1\admini~1\locals~1\temp\目录。4,打开sreng,系统修复,windows shell,全选,修复。5,升级杀软,全盘扫描。病毒样本下载纳米下载地址