好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Jacky9771 于 2020-6-30 13:23 编辑
下午同事跑来说,内网服务器上的共享文件夹ABC里啥也没有了。
我黑死了,赶紧登录上去看了下。
共享文件夹ABC里只有一个LINK快捷方式,但看整个盘,文件应该还在。
进CMD, DIR/AH, 果然在该共享目录ABC下面有个隐藏的AUTORUN.INF 和一个 “_”文件夹。
所有文件都在“_”文件夹里。
现在情况是,把文件一拷贝到此ABC目录,文件就自动被拷贝到“_”文件夹里了。
把AUTORUN.INF和link快捷方式两个文件删除,立即自动生成。
在“_”文件夹里有一个 几百K的 名叫 DeviceManager.exe应用程序,将其删除后,立即自动生成同名文件。
现在用360杀毒和火绒5.0 都分别安装并进行了查杀。
火绒5.0 对DeviceManager.exe 进行了报毒, 叫什么 混淆代码生成器
其余的就没法处理了。
因为一查杀,DeviceManager.exe就又生成了。
然后卸载, 安装360杀毒并进行查杀。
360对 DeviceManager.exe 报毒为 QVM10.2.0EDF.Malware.Gen
对link文件 报毒 为 virus.lnk.vbsworm.b
见图:
查杀后,还是杀不干净。
感觉应该是真正的病毒文件并没有检测到。
下班前,用360在进行全盘查杀, 明天早上看结果。 但感觉 应该是 处理不干净。
因为是内网感染的,无法使用移动存储,病毒样本只有明天才能想办法提出来。
BAIDU上搜索了半天, 这两个病毒都不是新出来的,但是一直没有搜索到真正管用的解决办法 ,一说就是格式全盘,重新安装操作系统之类的。
特发帖求助大佬们,有谁遇到过类似病毒,怎么处置的。
更新:
昨天把内网断了,全部内网更新360杀毒离线包到最新版,对客户机和服务器全部进行了查杀,当时感觉是解决了,但是今天又出现了。。。。。。。。。。
病毒样本现上传了,我看有火绒等专业公司的账号在论坛,还烦请查看下,能不能出个专杀工具或具体解决方案之类的。
病毒样本:
https://wwe.lanzouj.com/iPeuIe68sef
解压密码: 52pojie
截图是服务器上的目录 。
那个 “_” 目录、快捷方式 , AUTORUN.INF 就是病毒自动生成的, 把文件都移动到 “_” 目录,但唯独保留了“2020年度” 这个目录 ,有可能当时有人在使用文件吧。
那个快捷方式无法复制和压缩出来。
对了,服务器是 WIN SERVER 2008 R2 正版 在 VMWARE VSPHERE的虚拟机里运行的。
怎么悬赏, 我好像没有把这功能搞会????
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-6-28 21:47
