标题: 关于一个autorun病毒 [打印本页]
作者: a794685135 时间: 2008-10-16 23:24 标题: 关于一个autorun病毒
今日在网吧下歌, 为了一首很难找的歌进了个乱七八糟的网站
当时没什么发现, 后来在盘里面发现了一个autorun病毒,于是写了个P杀掉
@echo off
for %%i in (c d e f g) do (
taskkill /f /im woKuto.exe /im PlayrKM.exe /im vonine.exe
attrib -S -H -R %%i:\woKuto.exe
attrib -S -H -R %%i:\PlayrKM.exe
del /q /s %%i:\woKuto.exe
del /q /s %%i:\PlayrKM.exe
attrib -S -H -R %%i:\MSDOS.bat
echo >%%i:\MSDOS.bat
attrib +S +H +R %%i:\MSDOS.bat
attrib -S -H -R %%i:\autorun.inf
mkdir %%i:\autorun.inf
attrib +S +H +R %%i:\autorun.inf)
完了之后以为什么都没了 , 结果病毒中的那个MSDOS.bat老是自动回复原来状态for %%i in (c d e f g) do (
taskkill /f /im woKuto.exe /im PlayrKM.exe /im vonine.exe
attrib -S -H -R %%i:\woKuto.exe
attrib -S -H -R %%i:\PlayrKM.exe
del /q /s %%i:\woKuto.exe
del /q /s %%i:\PlayrKM.exe
attrib -S -H -R %%i:\MSDOS.bat
echo >%%i:\MSDOS.bat
attrib +S +H +R %%i:\MSDOS.bat
attrib -S -H -R %%i:\autorun.inf
mkdir %%i:\autorun.inf
attrib +S +H +R %%i:\autorun.inf)
可疑的 进程都被我结了 ,
由于那个bat被加密了, 看不到里面写的是什么,传上来问问大家
(另请问下, 为什么我新建的autorun.inf是个文件而不是文件夹?)
http://upload.cn-dos.net/img/953.rar
作者: lserfn 时间: 2008-10-17 00:06
我知道这种msdos.bat病毒不能像你这样就能杀掉的...
你这样杀掉盘符下的毒... 系统文件也有被感染的.
(另请问下, 为什么我新建的autorun.inf是个文件而不是文件夹?)
你的p里面没有删除原来的autorun.inf 是不是你把原来的看作是你新建的?
作者: HAT 时间: 2008-10-17 00:59
MSDOS.bat被加过壳:
WinUpack 0.39 final -> By Dwing
脱壳以后可以看到部分批处理代码,大概实现以下几个功能:
删除QQ医生
从http://444.er18.com网站下在病毒
增加双击盘符AutoRun的病毒执行方式
把MSDOS.bat关联(插入?伪装?)到几个系统进程
干掉杀软:金山毒霸、江民、卡巴等
水平所限,我能看到的只有这么多了,期待高人出现。
顺便建议楼主到看雪论坛,请专业人士帮忙。