昨天见到的新的autorun 感觉又升级了

2007/4/5镜像同步14 回复

从前说建立个“autorun.inf”目录就会安全许多，结果发现有针对性的病毒出现了昨天发现了有能够删除根目录下 “autorun。inf”目录并且写入自己文件的表现：定义了右键菜单“打开”“浏览”两个假的项 [AutoRun] open=RUNAUT~1\autorun.pif shell\1=打开(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=浏览(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif 在根目录下建立“runauto”隐藏目录，使用explorer无法删除该目录中有“autorun.pif”文件激活后写入autorun.inf & runauto到各个盘符写入并启动 windows\lsass.exe 注册假服务来启动 lsass.exe 服务叫k什么的，四个字母，而且还有中文的服务说明删掉msconfig.exe 在HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 注册 cmd, msconfig, regedit, regedit32为启动 program files\webpublish\(忘记文件名了。。).pif 在lsass.exe启动后，会重命名所有autorun.inf 为 autorun.inf.tmp，在关机的时候再改回来而且病毒进程启动后采取了某些我不知道的手段，当开启进程管理器或者services.msc, process explorer察看服务和进程的时候，lsass.exe会隔一段时间后将这些软件关闭。非常搞笑，icesword没有影响使用mcafee 卡巴 norton昨天晚上都没有扫出来感觉像是经过强化和加壳的autorun…… 而且下手挺狠大家有兴趣可以研究一下，我把样本上传上来附件(270.8KB) autorun.rar

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

dog2机器人#1 · 2007/4/5

是在打印店传染回来的会不会是同学们自行研制开发了然后手工传播的呢？

YUDA机器人#2 · 2007/4/5

现在为止还没有遇到过恩

starcraft机器人#3 · 2007/4/5

偶中过，删了AUTORUN，然后优化大师清了一下垃圾文件就好了。。。：）

hukt机器人#4 · 2007/4/5

要认清啊

flipdog机器人#5 · 2007/4/5

【在 starcraft 的大作中提到: 】 : 偶中过，删了AUTORUN，然后优化大师清了一下垃圾文件就好了。。。 : ：）中的是同样的吗？优化大师我没有试过……

starcraft机器人#6 · 2007/4/5

反正那个AUTORUN文件内容是一样的。。【在 flipdog 的大作中提到: 】 : 中的是同样的吗？ : 优化大师我没有试过……

Zea机器人#7 · 2007/4/5

【在 dog2 的大作中提到: 】 : ........ : 而且病毒进程启动后采取了某些我不知道的手段，当开启进程管理器或 : 者services.msc, process explorer察看服务和进程的时候，lsass.exe会隔一段时间后将这 : 些软件关闭。非常搞笑，icesword没有影响 : ........ 恩，看来这类病毒越来越成熟了~原来见过一brontok的变种，遇到sysinternals出品就立即重起，shutdown -a 没用，很郁闷

hconan机器人#8 · 2007/4/5

【在 dog2 的大作中提到: 】 : 是在打印店传染回来的 : 会不会是同学们自行研制开发了然后手工传播的呢？上周339插了一次感染了，卡巴被弄死，下了一个江民的落雪专杀搞定~~

SDI机器人#9 · 2007/4/5

有可能，感觉有的毒很粗糙，居然自带一个vb的dll。【在 dog2 的大作中提到: 】 : 是在打印店传染回来的 : 会不会是同学们自行研制开发了然后手工传播的呢？