遭遇Worm.UsbSpy.a/Worm.Win32.Delf.aj
endurer 原创
2006-09-12 第1版
有一位朋友,他把移动硬盘接到电脑上使用,上午还正常,但下午用时则有数据保护的出错提示信息。
该朋友电脑使用的是Win XP SP2,因未联网,所以不能从网上下载 HijackThis 等软件来分析。
打任务管理器,发现一个名为wincfgs.exe的进程,图标为一个黄色问号,十分可疑,终止了。
打开命令提示符窗口搜索文件:
/------------
C:/Documents and Settings/user>attrib /wincfgs*.* /s
SHR C:/Windows/system32/wincfgs.exe
------------/
文件在C:/Windows/system32中,具有系统、隐藏、只读属性,用WinRAR打包备份后删除。
打开注册表编辑器,搜索包含“wincfgs”的项目,发现
/------------
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"load"="C://windows//system32//wincfgs.exe"
------------/
再检查移动硬盘,在根目录下发现autorun.inf。文件内容如下:
/----------
[autorun]
open=./RECYCLER/RECYCLER/autorun.exe
shell/1=Open
shell/1/Command=./RECYCLER/RECYCLER/autorun.exe
shell/2/=Browser
shell/2/Command=./RECYCLER/RECYCLER/autorun.exe
shellexecute=./RECYCLER/RECYCLER/autorun.exe
----------/
居然有个文件autorun.exe藏在回收站里。
用fc命令比较,autorun.exe 与 前面发现的wincfgs.exe完全相同。
瑞星报为 Worm.UsbSpy.a。
STATUS: FINISHED
Complete scanning result of "wincfgs.exe", received in VirusTotal at 09.12.2006, 06:40:13 (CET).
| Antivirus | Version | Update | Result |
| AntiVir | 7.1.1.16 | 09.11.2006 | Worm/Delf.AJ.1 |
| Authentium | 4.93.8 | 09.11.2006 | W32/Sillyworm.RE |
| Avast | 4.7.844.0 | 09.11.2006 | Win32:Delf-AQT |
| AVG | 386 | 09.11.2006 | Worm/Delf.GW |
| BitDefender | 7.2 | 09.12.2006 | Trojan.Agent.AAE |
| CAT-QuickHeal | 8.00 | 09.11.2006 | Worm.Delf.aj |
| ClamAV | devel-20060426 | 09.12.2006 | Worm.Delf-21 |
| DrWeb | 4.33 | 09.11.2006 | Trojan.MulDrop.3780 |
| eTrust-InoculateIT | 23.72.122 | 09.12.2006 | Win32/USBSpy.1pk!Trojan |
| eTrust-Vet | 30.3.3071 | 09.11.2006 | Win32/Bypuss.A |
| Ewido | 4.0 | 09.11.2006 | Worm.Delf.aj |
| Fortinet | 2.77.0.0 | 09.11.2006 | W32/Delf.AJ!worm |
| F-Prot | 3.16f | 09.11.2006 | W32/Sillyworm.RE |
| F-Prot4 | 4.2.1.29 | 09.11.2006 | W32/Sillyworm.RE |
| Ikarus | 0.2.65.0 | 09.11.2006 | no virus found |
| Kaspersky | 4.0.2.24 | 09.12.2006 | Worm.Win32.Delf.aj |
| McAfee | 4849 | 09.11.2006 | Generic MultiDropper.b |
| Microsoft | 1.1560 | 09.12.2006 | no virus found |
| NOD32v2 | 1.1750 | 09.11.2006 | Win32/Delf.AJ |
| Norman | 5.90.23 | 09.11.2006 | W32/Delf.OMO |
| Panda | 9.0.0.4 | 09.11.2006 | Adware/Look2Me |
| Sophos | 4.09.0 | 09.11.2006 | W32/Delf-CRK |
| Symantec | 8.0 | 09.12.2006 | no virus found |
| TheHacker | 5.9.8.209 | 09.11.2006 | W32/Delf.aj |
| UNA | 1.83 | 09.11.2006 | Worm.Win32.Delf |
| VBA32 | 3.11.1 | 09.12.2006 | Worm.Win32.Delf.aj |
| VirusBuster | 4.3.7:9 | 09.11.2006 | Worm.Delf.AZX |
Aditional Information
File size: 47104 bytes
MD5: 07adddef653a702b9a11edbcee07e82b
SHA1: 97729f6df1cd96b61e3e2bc1a841adf1720e2ec5
遭遇Worm.UsbSpy.a/Worm.Win32.Delf.aj相关推荐
- Worm.Win32.Delf.bg专杀【萧心论坛发】
民间杀毒高手"农夫"最新推出的专杀工具.本站首发.Worm.Win32.Delf.bg专杀工具. 下载地址:[url]http://down.crfly.com/DownLoadS ...
- 传播Virus.Win32.AutoRun.f/Worm.Win32.Delf.b的网页
endurer 原创 2007-06-15 第1版 一位网友说他的电脑不管打开什么网站的网页,显示的都是hxxp://218.*1*.1*4.170的VIP1.HTM.VIP2.HTM等. hxxp: ...
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2 endurer 原创 2007-08-1 ...
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1 endurer 原创 2007-08-1 ...
- 遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2 endurer 原创 2007-08-1 ...
- 某论坛被加入下载Trojan-Downloader.Win32.Delf.ajm的代码
endurer 原创 2006-12-15 第1版 论坛首被加入代码: /-------- <iframe src=hxxp://www.z*z***yqr.com.**/lpf/wm.htm ...
- 遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko endurer 原创 2009-05-19 ...
- 解决灰鸽子变种、Rootkit.Win32.Vanti、Win32.Delf、Win32.Small等
endurer 原创 2006-08-17 第1版 一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql.如: /------------ 病毒名称 处理结果 发现日期 ...
- 昨天才提醒,今天就有网友点击QQ信息中的网址,中Worm Viking pk/Worm Win32 Viking jg了
endurer 原创 2007-03-20 第1版 昨天才提醒大家小心QQ信息中的网址会传播维金/Viking等病毒: 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm. ...
最新文章
- 算法-电话号码的字母组合
- 【Matlab】访问提取时序数据
- windows下的sysprep
- Android之Badge显⽰
- Java和操作系统交互细节
- EM算法(Expectation Maximization Algorithm)
- 工作252:uniapp--实战--uview---tabber
- C++ 下一代标准库 tr1中默认的哈希 FNV hash
- matlab数字图像处理课程设计报告,数字图像处理课程设计实验报告.doc
- Golang——秒懂函数、参数、可变参数、匿名函数、回调函数、内置函数
- 公钥、私钥、数字签名、数字证书、对称与非对称算法、HTTPS
- 1.极限——ε-δ例子_7
- 解释清楚智能指针二【用自己的话,解释清楚】
- VC98\mfc\lib' specified in 'LIB environment variable' 系统找不到指定路径
- php无限级回复页面如何嵌套,php无限级评论嵌套实现代码
- jmeter 压测之动态数据关联
- CMake windows下代理设置
- 通过实例理解Go Execution Tracer
- Dom——隔行变色、分时显示问候语
- php两个手机号正则表达式_最新手机号码正则表达式(php版)