昨天得到的样本``QQ上一位反毒高手赠的```

一头粉红色小猪,超酷~~~HOHO~~

 

大致看了一下,原来是以前"小红猫"的变种``做了一些小变动``

 

可能是编写上的缺陷，很多与测试里无法验证````

 

File size: 73728 bytes
CRC32    : 5E723E25
MD5: e830df3e15cddff68559055a061f995e
SHA1: 1d18b958df55de1198b2a9244dd15e38f9f69618
RIPEMD160: AB5BF69D576838975EB0FA7369E12A8A7EC63A36
Tiger_192: EED2B09076EF7176450C5F8A3FBC502367E0ED3438757B40

 

virustotal里就3家杀软公司能识别，报的有：

McAfee 5042 05.30.2007 New Malware.ac
NOD32v2 2301 05.31.2007 probably unknown NewHeur_PE virus
DrWeb 4.33 05.31.2007 BackDoor.Generic.1588

VB写的，没有壳```其实很多都是由P处理实现的``

 

运行红猪，首先删除「开始」菜单\程序\附件\附件下的所有东西！！

 

后栲贝自身加入「开始」菜单\程序\启动下，名字为userinit.exe , 假冒系统文件，在%windir%下，73728 字节。

 

并释放四个文件，三个在%systemroot%\system32下，一个在%windir%下分别是：

 

%windir%\syuserinit.exe 73728 字节

（这个还加在了系统登入注册表项userinit.exe,的后面，达到开机自启```）

%systemroot%\system32\systemdays.dll  9 字节

%systemroot%\system32\systemtimes.dll 1 字节

%systemroot%\system32\user.bat 9 字节

 

随后主体(那头猪),调用CMD，做一些常人不能理解的行为，搞得HIPS日志一团乱`````

 

并使用taskkill命令，试图关闭进程里的：

QQ.exe   regedit.exe  Thunder5.exe   BitComet.exe 

rfwmain.exe RavTask.exe rfwsrv.exe Ka???.exe no???.exe avp.exe kv?.exe

 

尝试修改Boot.ini引导文件，修改“显示隐藏文件”和破坏“安全模式”，覆盖文件等等````不过都没有实现``

 

最后在D盘生成个文件夹，D:\\Program Files\\WINDOWS\\system32\\Microsoft\\Protect\\S-1-5-18\\User\\

…………里面好像也放了个病毒，没注意看了``

 

 

 

下载冰刃和SREng ```（如果安全模式和”显示隐藏文件“被破坏的话``自己下载注册表导入```）

[url]http://free.ys168.com/?gudugengkekao[/url]这里下。

 

首先打开进程管理``有看到CMD的话先结束掉``

 

后运行SREng，它会自动修复\Windows NT\CurrentVersion\Winlogon\userinit.exe,这项```

 

 

%windir%\syuserinit.exe 73728 字节

%systemroot%\system32\systemdays.dll  9 字节

%systemroot%\system32\systemtimes.dll 1 字节

%systemroot%\system32\user.bat 9 字节

 

去掉启动文件夹病毒文件``

在 开始\菜单\程序\启动\userinit.exe

 

删除D:\Program Files\\WINDOWS\下的这个Windows文件夹，自己注意看下``不要删除错咯`

 

如果在每个分区下有Autorun.inf和可疑文件的话，则删除```

 

那些“附件”里被删除的东东``可以找朋友或同事拷贝过来``（“附件”整个文件夹）``

 

收工``