討論 - 最近出現一隻會將時間重設為1980年的病毒

GaMNiA · 2007-01-25, 09:48 PM

最近出現一隻會將時間重設為1980年的病毒，
所以不一定是你的主機板電池沒電，而是中毒了...

「轉貼」：大陸作者 berrykwok (mopery)
又是個U盤病毒..文件名隨機..

具體寫個分析..
運行樣本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf

X=C D E F H .... *=大小寫字母隨機命名

修改註冊表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

生成註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

訪問網站
http://避免各位中毒，所以把網站連結刪除
http://避免各位中毒，所以把網站連結刪除

Listsas.txt
內容為
4002http://避免各位中毒，所以把網站連結刪除
4003http://避免各位中毒，所以把網站連結刪除
30http://避免各位中毒，所以把網站連結刪除
31http://避免各位中毒，所以把網站連結刪除
31http://避免各位中毒，所以把網站連結刪除

listsas.txt 與服務器上 http://避免各位中毒，所以把網站連結刪除同步..
內容一樣..

系統時間被更改.. 年份被更改為 1980 年..這樣能導致一些軟件無法使用..

連網下載
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同時生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt

處理方法: (安全模式操作)刪除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf

修復註冊表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 編輯改成 1

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 編輯改為 C:\WINDOWS\system32\userinit.exe, 2000系統改為 C:\WINNT\system32\userinit.exe,

刪除註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun" 鍵值..
(這個鍵值涉及到一些設置..像我電腦就不會有這個鍵值..稍微修改下..刪除單個鍵值)

danny_2 · 2007-01-25, 10:16 PM

引用:

作者: GaMNiA

生成註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

這是預設值得數值，這只是磁碟自動／重新插入的指令而已，並不涉及任何病毒之類，

rainnylin · 2007-02-01, 09:13 AM

為甚麼要刪除
C:\WINDOWS\*.exe

是騙人的吧!
故意做出中毒的假象然後引人自宮!

GaMNiA · 2007-02-01, 09:43 AM

引用:

作者: rainnylin

為甚麼要刪除
C:\WINDOWS\*.exe

是騙人的吧!
故意做出中毒的假象然後引人自宮!

你可能沒看完整，最上面的還有段文字：
X=C D E F H .... *=大小寫字母隨機命名

大概是類似：a.exe , A.exe , b.exe , B.exe ,......, z.exe , Z.exe
C:\f.exe，C:\K.exe，D:\e.exe，E:\H.exe，.....隨機命名
C:\WINDOWS\a.exe
C:\WINDOWS\A.exe
C:\WINDOWS\b.exe
C:\WINDOWS\B.exe
　　：
　　：
C:\WINDOWS\z.exe
C:\WINDOWS\Z.exe

不是刪除 C:\WINDOWS\*.exe 的意思喔...

superxboy · 2007-02-01, 10:01 AM

的確有這隻病毒...去Google查了一下...還滿多人中的

rainnylin · 2007-02-01, 10:48 AM

的確是沒看清楚...

不過刪檔的地方還是要說清楚一些

GaMNiA · 2007-02-01, 11:09 AM

那是「轉貼」是大陸作者寫的，不是我寫的，我也不好意思隨意修改人家的文章...

如果有造成大家誤解，先說聲抱歉...

getter · 2007-02-01, 12:33 PM

引用:

作者: GaMNiA

你可能沒看完整，最上面的還有段文字：
X=C D E F H .... *=大小寫字母隨機命名

大概是類似：a.exe , A.exe , b.exe , B.exe ,......, z.exe , Z.exe
C:\f.exe，C:\K.exe，D:\e.exe，E:\H.exe，.....隨機命名
C:\WINDOWS\a.exe
C:\WINDOWS\A.exe
C:\WINDOWS\b.exe
C:\WINDOWS\B.exe
　　：
　　：
C:\WINDOWS\z.exe
C:\WINDOWS\Z.exe

不是刪除 C:\WINDOWS\*.exe 的意思喔...

這樣的話要刪除應該是要下 del /f /q /s ?.exe 比較適當
依照 GaMNiA 大大的敘述，病毒的執行檔名可能是【一個字元長度】的檔案
所以可以用 ?.exe 解決，若是用 *.exe 可是會自爆的喔。

GaMNiA · 2007-02-01, 01:02 PM

引用:

作者: getter

所以可以用 ?.exe 解決，若是用 *.exe 可是會自爆的喔。

恩~ 是滴...

因為那不是我寫的，大陸作者寫的，也有可能是作者筆誤，
他所謂的 "*" 不是萬用字元，而是隨機命名的大小寫字母，
所以真的很容易造成人家的誤解...

2007-01-25, 09:48 PM	#1
GaMNiA 長老會員榮譽勳章勳章總數5 UID - 25903 在線等級: 註冊日期: 2003-01-14 文章: 1674 精華: 0 現金: 430 金幣資產: 13278 金幣	討論 - 最近出現一隻會將時間重設為1980年的病毒最近出現一隻會將時間重設為1980年的病毒，所以不一定是你的主機板電池沒電，而是中毒了... 「轉貼」：大陸作者 berrykwok (mopery) 又是個U盤病毒..文件名隨機.. 具體寫個分析.. 運行樣本生成文件 C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\.exe X:\.exe X:\Autorun.inf X=C D E F H .... =大小寫字母隨機命名修改註冊表 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 生成註冊表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 訪問網站 http://避免各位中毒，所以把網站連結刪除 http://避免各位中毒，所以把網站連結刪除 Listsas.txt 內容為 4002http://避免各位中毒，所以把網站連結刪除 4003http://避免各位中毒，所以把網站連結刪除 30http://避免各位中毒，所以把網站連結刪除 31http://避免各位中毒，所以把網站連結刪除 31http://避免各位中毒，所以把網站連結刪除 listsas.txt 與服務器上 http://避免各位中毒，所以把網站連結刪除同步.. 內容一樣.. 系統時間被更改.. 年份被更改為 1980 年..這樣能導致一些軟件無法使用.. 連網下載 C:\WINDOWS\003.exe C:\WINDOWS\002.exe 同時生成 C:\WINDOWS\002.txt C:\WINDOWS\003.txt 處理方法: (安全模式操作)刪除文件 C:\WINDOWS\002.exe C:\WINDOWS\002.txt C:\WINDOWS\003.exe C:\WINDOWS\003.txt C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\.exe X:\.EXE X:\Autorun.inf 修復註冊表.. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue 編輯改成 1 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Userinit 編輯改為 C:\WINDOWS\system32\userinit.exe, 2000系統改為 C:\WINNT\system32\userinit.exe, 刪除註冊表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun" 鍵值.. (這個鍵值涉及到一些設置..像我電腦就不會有這個鍵值..稍微修改下..刪除單個鍵值)
	__________________ 我就是我
	送花文章: 96, 收花文章: 318 篇, 收花: 678 次

2007-02-01, 09:13 AM	#3 (permalink)
rainnylin 註冊會員榮譽勳章勳章總數5 UID - 64912 在線等級: 註冊日期: 2003-05-05 文章: 617 精華: 0 現金: 199 金幣資產: 1853 金幣	為甚麼要刪除 C:\WINDOWS\*.exe 是騙人的吧! 故意做出中毒的假象然後引人自宮!

	送花文章: 65, 收花文章: 170 篇, 收花: 619 次

2007-02-01, 10:01 AM	#5 (permalink)
superxboy 管理版主榮譽勳章勳章總數16 UID - 21259 在線等級: 註冊日期: 2003-01-02 住址: 北極文章: 10335 精華: 6 現金: 130 金幣資產: 844182589 金幣	的確有這隻病毒...去Google查了一下...還滿多人中的
	__________________ 愛的時候，可以不公平；不愛了、分開了，總該公平了吧重情重義重粉味愛台愛鄉愛查某
	送花文章: 3254, 收花文章: 4835 篇, 收花: 21651 次

2007-02-01, 10:48 AM	#6 (permalink)
rainnylin 註冊會員榮譽勳章勳章總數5 UID - 64912 在線等級: 註冊日期: 2003-05-05 文章: 617 精華: 0 現金: 199 金幣資產: 1853 金幣	的確是沒看清楚... 不過刪檔的地方還是要說清楚一些

	送花文章: 65, 收花文章: 170 篇, 收花: 619 次

2007-02-01, 11:09 AM	#7 (permalink)
GaMNiA 長老會員榮譽勳章勳章總數5 UID - 25903 在線等級: 註冊日期: 2003-01-14 文章: 1674 精華: 0 現金: 430 金幣資產: 13278 金幣	那是「轉貼」是大陸作者寫的，不是我寫的，我也不好意思隨意修改人家的文章... 如果有造成大家誤解，先說聲抱歉...

	送花文章: 96, 收花文章: 318 篇, 收花: 678 次

Google 提供的廣告