[警惕]小红猫(setup.exe)

3天收到的样本了```再发一次````

==================================

 

图标为小红猫模样，粉可爱的，我看了都喜欢 ^_^`````

(国内就瑞星有报)````

NOD32报未知PE病毒`````

NOD32v2 2278 05.20.2007 probably unknown NewHeur_PE virus

的确,反汇时候里面特征太少了,很干脆,就直接覆盖文件`````

受影响的文件格式为：(.exe和.mp3)````

哎,不说了,自己写了一大堆分析,没什么特别好的方案```

只能预防```

==========================================

病毒信息：

File size: 40960 bytes
MD5: e9ab491a6e1189d8d838ee56233745ae
SHA1: 82f78d300fd9150f89fed26b6a19e0ab0567a429
CRC32     : C447EA99
编写语言:VB
加壳方式:未

=========================================

行为：

      貌似该病毒有缺陷，按反汇看会遍历分区生成Autorun.inf和Setup.exe（隐藏、系统属性），不过测试时候C盘和F盘没有生成，各分区也没有生成autorun.inf。并尝试修改隐藏文件的注册表项，测试时并没有成功，故无法验证。

      每个分区下的Setup.exe是重点，如果他不能生成的话，那么将无法进行感染。

      遍历分区扩展名为.exe和.mp3格式的（跳过系统盘），遇到exe格式的文件，即覆盖（不是捆绑！！），这意味着无法用常规手段恢复被“感染”的文件，因为每个被覆盖过的程序都可能是原体，经测试，覆盖后的程序和原病毒MD5等值都不变。

      查找为.mp3格式的文件，强行该名为".Mp三kill"      Mp三kill前面还随机跟着2个或3个的数字。（使mp3格式的播放文件无法正常使用）。

      自身拷贝到系统的启动文件夹项，达到开机执行病毒程序。

=======================================

要恢复被覆盖的文件估计够呛，所以没什么特别好的解决方法。据我跟踪的就在D：和E：盘生成病毒

首先把这两个分区下的病毒删除（如果别的分区有发现的话，那么也删除）

然后去掉开始-程序-启动的病毒项

最后上报样本。。等杀软识别吧。。

另附上批量恢复扩展名方法:

调用CMD,输入:

ren *.??Mp三kill *.mp3

ren *.???Mp三kill *.mp3

 

预防方法:

 

由于每个分区下的Setup.exe是重点，如果他不能生成的话，那么将无法进行感染

那我们可以:

每个区下新建个setup.exe,属性设置为隐藏\只读\系统````

可以利用attrib命令来完成```` attrib +s +h +r setup.exe

 

 

 

一些图：

 

此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：