导致exe文件名出现~的感染型病毒(千橡互联流氓软件)专杀工具 完美修复被感染EXE
[size=2]2006-10-21 千橡专杀工具升级到V1.6版 新增多个新变种的查杀系统工具mj0011原创投递cnBeta,转载请注明.
前天投递了一篇千橡互联流氓感染EXE文件 (附修复程序), 这两天对其进行研究,发现还有多个变种另外卡巴,瑞星等著名杀毒软件都无法对感染的EXE文件进行修复,只能将其删除,这样导致用户大量数据丢失,这GUI版本的修复工具可以以比较快的速度 (我的机器上14秒查完C盘)检测机器上哪些文件感染了该病毒,并将感染的文件修复为正常的版本,另外,其通杀该病毒已知的多个版本变种.
以下的程序运行截图:
选择查杀目标
[img]http://photo9.yupoo.com/20060929/031331_97199228.jpg[/img]
正在进行查杀 发现的病毒文件及处理结果将会显示出来
[img]http://photo9.yupoo.com/20060929/031331_1231234293.jpg[/img]
查杀报告
[img]http://photo9.yupoo.com/20060929/031332_351988776.jpg[/img]
[img]http://photo9.yupoo.com/20060929/031332_1043161349.jpg[/img] 但是也只能查杀二代变种。
以下来自cnBeta.COM(作者):
MJ0011的技术分析和投递:
自从之前投递过千橡互联的流氓软件感染EXE以及修复工具后,见:
千橡互联流氓软件感染exe病毒图形界面查杀工具 完美修复被感染EXE
千橡互联流氓感染EXE文件 (附修复程序)
不断收到网友报告的不同变种,也在不断升级着我的专杀工具,就在QIHOO和YAHOO两只虎不断在ROOKIT领域PK的时候,千橡也在不断升级着自己感染EXE的手段,我也在不断完善自己的专杀工具,从cmd版本到gui版本,一直到前不久发布的gui 1.5版本,智能查杀引擎可以查出所有可能变种,并完全修复各个可能变种的被感染EXE到原有状态
终于,可能千橡可能看到简单的变换感染方式和EXE结构已经不能躲过专杀,终于出绝招了
今天早上一个朋友给我的变种大大出乎我的意料
引用鲁迅先生的一句话:
==================================================================
我向来是不惮以最坏的恶意,来推测中国人的,然而我还
不料,也不信竟会下贱到这地步
==================================================================
这个变种居然在感染EXE后直接把原来的EXE数据丢弃掉!只将原来EXE的图标替换为自己
导致被感染的EXE全部变为只有108544字节(106KB左右)
原来被感染的EXE会释放出被感染前的EXE文件,前面加上~,比如cmd.exe,会释放出cmd~.exe
这个版本,也是会释放出*~.exe,但是这个exe当然不会是原来的EXE(已经被丢弃了),而是它自己,然后这个东西会去几个网站下载这两个文件,并运行
19790205.exe
cert.exe
这两个都是包含了千橡互联两个主打流氓软件:IE-BAR,dmcast的安装包
也就是用户机器上的exe都会被直接替换为这个下载器,然后运行被感染后的EXE(文件图标和被感染前一致)
由于原exe文件数据已被丢弃,恢复已是不可能的
现在好象还没有杀毒软件对该变种报毒
但是即使报毒也是没有可能修复原文件的了
我的专杀也仅能检查到该变种存在,无法对exe进行修复了
只能对千橡说一句:人不能无耻到这种地步!!
恭喜千橡:
流氓软件做到这么狠的地步,已经超越一般的感染EXE病毒(比如Win下的Parite病毒) 比之过去那种直接格盘锁盘的病毒有过之而无不及(同时还可以给自己的流氓广告软件增加超大的下载安装量)
同时我不明白我国法律为什么仍让这么一个制作病毒的公司逍遥法外? 这么牛的病毒哇!收藏了,谢谢版主了 必须支持!!谢谢楼主! 谢谢啊,我这几天就为这个头痛 鄙视流氓!谢谢楼主 好像很牛的样子,
下来试试看,
先谢谢楼主了 楼主的这个软件一运行就被我的ASAVT干掉了 为什么呢? 呵呵..这好象是千像吧? 收藏了!!!!!!!!!!! 还是很不错的!谢谢! 第一次看见!
支持一下 我中过呀.太厉害了.
搞的图标都难看死了.
页:
[1]