[杀毒]今天碰到了一个很强悍的 病 毒，新版的卡 巴现已能查出 [复制链接]

我的机器已经用GHOST还原了，因为系统文件被破坏的实在太严重了

初步分析此病毒致病原理：（我安装的是卡巴斯基，不知对其他杀软怎样）

1、强行修改系统时间到1980年某日，致使卡巴斯基提示不正确的授权许可激活日期，而停止监控。
（看来卡巴的漏洞也不小，修改一个日期就搞挺了。有兴趣的可以修改一下看看，如此简单你的卡巴就成灰色的了。。。病毒的作者很聪明）

2、趁卡巴虚而入，进一步破坏卡巴病毒特征库，导致卡巴所有监控失效。
（当我试图修复卡巴时，还是提示组件破坏，看来病毒在卡巴离职时对其做了很多很多非礼之事！）

3、破坏系统还原文件，导致所有还原点失效
（这个没有什么新鲜的，很多病毒都学会了这一招。如今，windows系统还原功能的作用越来越体现不出来了，无奈）

4、破坏系统文件，企图进入安全模式时系统提示有致命性错误，死机
（还想到安全模式把我清除？让你死了这条心！）

5、在所有的盘符下生成autorun.inf，内容如下：
[AutoRun]
open=fywmebw.exe
shell\open=打开(&O)
shell\open\Command=fywmebw.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=fywmebw.exe
表象为右击盘符时一切正常，依然是“打开（默认）、自动播放、资源管理器”等，但其实是伪装出来的，怀疑注册表也被完美的修改了。这还是第一次遇到这种情况，防不胜防，强！
我在这里就上当了，点了一下“打开”，结果直接激发了fywmebw.exe这个病毒体！看来，以后还是在地址栏中直接打入盘符最安全。。。

6、(未确定)破坏一键GHOST自动备份的gho文件，且破坏的方式很是聪明！！
过程如下：当你无可奈何，想用一键GHOST恢复系统时，无论你选择的是什么，结果都是直接指向了自动备份，而且备份2秒后自动停止！后果可想而知，以前的自动备份文件被这个新的很小的备份文件覆盖掉了！！可见，也不要太依赖一键GHOST的自动备份和恢复！还是手动备份指定路径更安全！
好在我以前做过手动GHOST备份，指定了路径后，终于恢复了系统！

现在，这个病毒还在我的U盘里躺着，没舍得删，我把它打包了，见附件，谁有兴趣想挑战一下自己可以试试，呵呵

没有百度到病毒相关信息，可能是个新品种，好强好强！
病毒上报可得奖来着？呵呵，没找到上报的途径。
希望过几天卡巴等杀软会对这个病毒有反应。现在就跟傻了似的，唉

明天找格别人的机器测试下.

没有发现什么破坏行为，也没有太占资源。只是进程里多了几个进程，启动项里也多了四五项。可能还处于潜伏期，以后它要干什么就不好说了，我也没兴趣知道。little可以找个本来就要重装的机器虐待一下哈

不过注意了，重装后一定要先手动将各个盘符下的autorun删掉，而且，进入盘符时要通过地址栏键入，鼠标是白搭了，左键右键都不行的。。。

谁敢下？

我把GHOST影像传到服务器上，再试试这个病毒，哈哈
另外，你是用硬盘上的GHOST恢复的吧？应该是病毒把对应的CMD文件修改了

我试验了一下，感觉这个病毒还是比较讨厌的。因为跟下一个帖子的病毒其实是一样的，就说说我的体会吧，呵呵。
这个病毒会生成很多文件，并修改时间和注册表，来达到遏制杀毒软件的目的。
最主要的病毒体是：
c:\program files\common files\microft shared\fvgbpda.exe
c:\program files\common files\system\dixgrhl.exe
我的处理方法是：
1.找专用软件结束这两个进程
需要是光盘或者带有写保护的U盘上的。我用的是procexp.exe和syscheck.exe
2.根据上述路径，找到这两个文件并删除
3.通过在地址栏输入地址的方法，删除各个分区根目录下的autorun.inf 和fywmebw.exe
4.运行regedit.exe,查找fvgbpda.exe和dixgrhl.exe，全部删掉
搜索启动项目，其中有fywmebw,gamawwi,kvsc3,mppds,upxdnd，删除对应项目
5.删除残余文件
c:\windows\system32\drivers\scvhost.exe
c:\programfiles\0603.exe,meex.exe

杀毒的体会：
关键是用适当的软件关闭正在运行的病毒进程，否则无法下手。可能我中毒还比较浅，或者用的进程管理软件比较偏，病毒竟然无视，哈哈
系统会修改时间和注册表相关信息，使杀毒软件无法运行。我这里的提示是找不到卡巴的主文件。在清理完注册表之后，卡巴就可以正常运行了。
从病毒修改的注册表文件来看，常用的杀毒软件都受到了它的照顾。
我没有找到修改一键还原的证据，相关文件没有被修改。
那个0603.exe是后来从网络上下载的

根据症状好像就是“AV终结者”，正在网络上肆虐
http://it.sohu.com/20070613/n250535393.shtml

哈，欣宇都被搞定了阿，看来这个病毒真的不一般，或者还是老虎打盹了呢？呵呵呵
有一点不明白，欣宇你的一键GHOST的备份文件是放在哪里的？普通分区还是隐藏分区？
我用一键还原精灵，备份文件都是放在最后面的隐藏分区里的，这个地方病毒不能访问吧？当然软件作者是这么说的，我还没遇到过像你这种会删gho文件的厉害病毒

病毒我收藏了 ，哈哈！~~· 不点它应该不会出问题吧，改天闲下来了，试试...呵呵，挑战一下自己...

http://shadu.baidu.com/zhuansha/index.jsp

百度专杀，可以考虑收藏一些，以便应急，还是不错的...

随便做了个免疫器，大家运行了防止这个病毒吧。

引用第9楼doctor_li于2007-06-13 11:58发表的:哈，欣宇都被搞定了阿，看来这个病毒真的不一般，或者还是老虎打盹了呢？呵呵呵有一点不明白，欣宇你的一键GHOST的备份文件是放在哪里的？普通分区还是隐藏分区？我用一键还原精灵，备份文件都是放在最后面的隐藏分区里的，这个地方病毒不能访问吧？当然软件作者是这么说的，我还没遇到过像你这种会删gho文件的厉害病毒

攻击.gho的病毒很多.

引用第12楼啄木论坛于2007-06-13 13:07发表的:随便做了个免疫器，大家运行了防止这个病毒吧。

果然有高人呢