u盘病毒，来啥删啥，sos~

nandesiga · 发表于 2020-12-26 12:18

本帖最后由 nandesiga 于 2020-12-26 19:52 编辑

会在当前登录用户AppData\Roaming底下自动生成一串字母数字文件夹，里面有一个可执行文件，主流杀毒均无反应。可以自由删除，但瞬间重生

火绒分析了一下，是由system32底下的svchost生成

会无限扫描那个可执行文件，一旦发现被删除，就会连接一个外部ip，开始下载动作并生成可执行文件

同时也会扫描自动运行，一旦自动运行被禁用或删除，瞬间重生

中毒表现：插入任何u盘，里面的东西会被隐藏，然后逐个删除，再生成一堆lnk以及一个跟roaming下面一样的文件夹和可执行文件

功力有限，只能分析到这

用wintogo固态启动一个win10，无论是360还是卡巴斯基，全盘扫描都无法清除。

跪求解决方法！

用avast！内置的dos杀毒，把自启动跟可执行病毒杀了，目前恢复正常，但感觉没除根，只是将唤醒机制中断了而已

txt改rar，解压后将jpg改exe
病毒样本：

5ad99d61.txt (121.43 KB, 下载次数: 60)

wokl168 · 发表于 2020-12-26 14:12

amun 发表于 2020-12-26 14:04
打开exe是不是我电脑就会马上中毒？？

小白最好不要以身试毒，这是病毒样本，大佬分析用的，都是运行在沙盘里。

nandesiga · 发表于 2020-12-26 12:26

扫描结果

危险

此文件有25个引擎报毒，非常危险，请尽快删除！

扫描结果:51%的杀毒软件(25/49)报告发现病毒

时间: 2020-12-25 16:33:26 (CST)

行为分析报告: 微步文件行为分析报告

软件名称

引擎版本

病毒库版本

病毒库时间

扫描结果

扫描耗时

AVAST!18.4.3895.018.4.3895.02020-12-25.html]Win32:GenMalicious-NUT [Trj]8
AVG10.0.140510.0.14052020-12-25.html]Win32:GenMalicious-NUT [Trj]8
Alyac17.7.13.117.7.13.12020-12-25Gen:Variant.Midie.361865
Arcabit1.01.02020-12-25没有发现病毒8
Authentium4.6.55.3.142020-12-25没有发现病毒1
Avira1.9.2.01.9.159.02020-12-25HEUR/AGEN.10040709
Baidu Antivirus2.0.1.04.1.3.521922020-12-25没有发现病毒13
Bitdefender7.1411187.1411182020-12-24没有发现病毒21
ClamAV260250.100.22020-12-22没有发现病毒1
Comodo6.5.0.8196.5.0.8192020-12-20TrojWare.Win32.Zbot.FPZP@7gz7gm2
Cyren6.0.0.46.0.02020-12-25W32/S-a12fe06f!Eldorado2
Defenx11.157.3603415.2.0.472020-12-22Trojan ( 00509b521 )1
Dr.Web11.0.10.181023160011.0.10.18102316002020-12-24Trojan.Inject2.5936711
F-PROT4.6.2.1176.5.1.54182016-02-05没有发现病毒1
F-Secure2015-08-01-029.132020-12-25Heuristic.HEUR/AGEN.11033341
Fortinet1.000, 71.889, 71.844, 71.8685.4.2472019-11-04W32/Generic.AP.A894E!tr1
GData25.2807825.280782020-12-20Gen:Variant.Midie.3618613
Hunter1.0.1.3001.0.1.3002020-12-25没有发现病毒1
IKARUS5.04.05V5.03.032020-12-24Trojan.Win32.Crypt5
K711.157.3604915.2.0.472020-12-25Trojan ( 00509b521 )1
NOD3298464.5.152020-12-25a variant of Win32/Kryptik.FPZP trojan1
Nano1.0.134.905671.0.134.905672020-12-25Trojan.Win32.Androm.emxtuh2
QQ手机2.0.0.02.0.0.02020-12-25没有发现病毒1
Quickheal14.0014.002020-12-25Trojan.Zenshirsh.SL73
SOPHOS5.323.65.22020-12-25没有发现病毒1
Sunbelt3.9.2671.23.9.2671.22020-12-25Trojan.Win32.Generic!BT1
Systweak1.01.02020-12-25没有发现病毒1
TheHacker6.8.0.56.8.0.52020-12-25没有发现病毒1
Vba324.4.14.4.12020-12-24BScope.Trojan.Inject4
ViRobot2.732.732015-01-30没有发现病毒1
VirusBuster15.0.985.05.5.2.132020-12-25没有发现病毒3
Xvirus2.0.02.0.02020-12-25没有发现病毒2
emsisoft9.0.0.47999.0.0.47992020-12-25Gen:Variant.Symmi.7315213
nProtect9.9.99.9.92020-12-25没有发现病毒3
卡巴斯基(kavfs)8.0.4.3128.0.4.3122019-01-25Suspicious3
卡巴斯基(klms)5.5.335.5.332020-12-25没有发现病毒19
奇虎3601.0.11.0.12020-12-25没有发现病毒28
安博士V39.9.99.9.92020-12-25没有发现病毒3
安天AVL SDK 3.0AVL SDK 3.02020-12-25/Win32.Androm.html]Trojan[Backdoor]/Win32.Androm1
江民杀毒16.0.1001.0.0.02020-12-25Trojan.Generic.bitun2
深信服2.202004032.202004032020-12-25Malware3
熊猫卫士9.05.019.05.012020-12-25没有发现病毒5
瑞星538053802020-12-25Trojan.Kryptik1
百度杀毒1.01.02020-12-25没有发现病毒1
费尔17.47.173081.0.2.21082020-12-24没有发现病毒4
赛门铁克20151230.0051.3.0.242015-12-30没有发现病毒1
趋势科技13.302.069.500-10052020-12-25没有发现病毒1
迈克菲82545400.11582020-11-11没有发现病毒5
金山毒霸2.12.12019-02-01Win32.Troj.Undef.(kcloud)10

nandesiga · 发表于 2020-12-26 12:22

样本压缩包密码 52pojie

xjian903 · 发表于 2020-12-26 12:44

公司电脑应该也是这个病毒，360一键修复哈哈

，你那些文件应该是被隐藏了吧

chenggong123 · 发表于 2020-12-26 12:47

应该做了免杀处理，360和卡巴都检测不出，你换火绒试试？

KKL · 发表于 2020-12-26 13:13

带着U盘去打印店拷个病毒回去，让它们自相残杀

yasuitie · 发表于 2020-12-26 13:43

下载样本还需要吾爱币？

王成 · 发表于 2020-12-26 13:48

干的漂亮！哈哈，风险要发钱的

amun · 发表于 2020-12-26 14:04

打开exe是不是我电脑就会马上中毒？？

帐号		自动登录	找回密码
密码			注册[Register]