[中毒] savehive.exe

作者azureblaze (AzureBlaze)

看板AntiVirus

標題[中毒] savehive.exe

時間Thu Sep 11 20:12:00 2008

1.問題描述：請在下面說明碰到的中毒情形，越詳細越好(可貼圖說明)：每個硬碟內都被埋了設為系統隱藏檔案的autorun.inf 然後建立X:\RECYCLER\savehive.exe autorun.inf的內容為 [AutoRun] systemID=.\RECYCLER\savehive.exe Open=.\RECYCLER\savehive.exe Shell\Open=開啟(&O) Shell\Open\Command=.\RECYCLER\savehive.exe Shell\Open\Default=1 Shell\Explore=檔案總管(&X) Shell\Explore\Command=.\RECYCLER\savehive.exe 砍掉還會再出現同時試過筆電附的還原光碟可是系統裝到一半又中毒也就是第一次要重開的時候就當機目前的影響是：使用我的電腦開硬碟時視窗會消失然後開新的，有時候直接當掉關機時explorer.exe無法關閉 2.掃毒報告：使用McAfee掃瞄後沒有任何異狀做了一些簡單的google搜尋也沒有任何結果 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.168.64.101

推 junorn:能將RECYCLER\savehive.exe打包上傳嗎？ 09/11 20:15

→ azureblaze:http://www.badongo.com/file/11304351 09/11 20:20

推 junorn:幫你上傳到norman去分析了，不過可能要一點時間 09/11 20:32

→ azureblaze:感謝，不過似乎是普通的隨身碟病毒 09/11 20:39

→ azureblaze:我再觀察看看 09/11 20:39

推 kilinyo:請問junorn 為什麼是選擇上傳到norman去分析？ 09/11 20:40

→ ls0405:上傳到VirusTotal 分析是Worm:Win32/SillyShareCopy.gen 09/11 20:44

推 junorn:因為我現在用的這台電腦只找的到那邊0rz 09/11 20:44

→ junorn:不然平常我就直接開虛擬機測了。 09/11 20:44

推 junorn:看起來應該也不是危險性很高的，可能一樣是腳本那一類的毒 09/11 20:45

→ junorn:吧我猜。 09/11 20:45

→ kilinyo:這裡？ http://www.norman.com/microsites/nsic/Submit/en 09/11 20:48

推 junorn:對啊就是這，剛剛爬其他地方傳到www.threatexpert.com去了 09/11 20:50

→ azureblaze:照著精華區內kavo的那部份(好像)解決了 09/11 20:52

推 junorn:TE回傳了...還是TE快....appinit_dlls喔...有點危險 09/11 20:54

推 idaer:感謝樣本 AVG沒發現準備上報給AVG~~ 09/12 21:29