前几日拿到了一个样本,是个木马。
闪光点有一:文件图标为一个“文件夹”的样子。如果不注意,会直接双击之,就被执行了。
截图如下
<--尊荣1 (如果用户的显示文件后缀是打开的,会注意到可能是一个可执行文件)
(如果用户的显示文件后缀是隐藏的,就更像一个文件夹啦)
<--尊荣2
这种行为很龌龊,大家要引起注意。利用人们的传统思维,以为眼睛看到的“文件夹”形状的玩意就是个文件夹,其实……
最后鄙视下这个小木马Trojan.Win32.Delf.dwl (目前的卡巴病毒库已经能查杀,哈哈 我的投递...)
==
Title:RE: new viurs ?? [KLAB-5921555]
Hello,
Cache.exe_ - Trojan.Win32.Delf.dwl
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Kirill Erakhtin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/
病毒细节:
1、此毒释放的文件:
c:\windows\system32\system.exe
c:\windows\system32\service.exe(以服务加载。貌似是灰鸽子)
c:\windows\system32\hook.dll
c:\windows\system32\install.bat(安装完服务后自动删除)
c:\windows\system32\log_files_1.log(记录用户的每一步操作)。
2、清除建议:
(1).用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: /Anti-virus/anti_virus_3568.html
c:\windows\system32\system.exe
c:\windows\system32\service.exe
c:\windows\system32\log_files_1.log
c:\windows\system32\hook.dll
(2)用SRENG删除病毒注册的服务
忘记名了 好像是 [Microsoft Office Data Cache/msodc]
指向文件为 c:\windows\system32\service.exe
您的位置: