对联式悲哀

发信人: btlulu (都怪我太xl), 信区: Virus
标  题: [病毒预警]打开网页出现QQ系统提示的图片
发信站: 日月光华 (2008年01月28日15:36:55 星期一), 站内信件

发信人: WindBellKL (WindBell-卡拉), 信区: Virus_Security
标  题: [病毒预警]Virus.Win32.Xorer.dr/du
发信站: 北大未名站 (2008年01月26日01:18:27 星期六) , 站内信件

传播方式：

ARP 攻击：
向受攻击机器正在浏览的网页插入框架 http://360.gxgxy.net/count11.htm
典型特征为网页被插入如下三张图片
http://bbs.fudan.edu.cn/upload/Virus/1201507517-5825.GIF
http://bbs.fudan.edu.cn/upload/Virus/1201507520-3878.GIF
http://bbs.fudan.edu.cn/upload/Virus/1201507517-8748.GIF

同时转换下载链接为病毒体 http://360.gxgxy.net/setup.exe
因此下载任何程序文件并执行等，都可能造成中毒 若发现下载文件为一个不到100K 的setup.exe请勿轻易打开

Autorun.inf U盘和移动硬盘传播：
利用Autorun.inf修改双击和右键点击行为为打开病毒体 根目录的pagefile.pif

EXE/HTML 感染：
该病毒会搜索并感染硬盘上全部的exe文件，嵌入病毒体，导致再次运行即可中毒或者在html中嵌入病毒链接

感染症状：

ARP的症状是遭到攻击的症状而不是感染，若发现可以使用www.antiarp.com提供的AntiARP部分抵抗 （btlulu注：不建议用这个，参考精华区x-5-11-1）

感染症状为
系统里面出现多余的smss.exe和lsass.exe，由于系统原来有进程叫做这个名字，所以任务管理器可见两个smss.exe和两个lsass.exe

各种软件无法正常使用
杀毒软件和安全工具全部无法使用，一旦使用则发生死机、注销等行为
有时候系统崩溃，在登陆用户之前或者之后一段时间自动关机
安全模式无法进入，进入后蓝屏

解决方法：
目前大部分杀毒软件已经能查杀此病毒，此病毒名称Virus.Win32.Xorer.dr，Virus.Win32.Xorer.du为卡巴斯基所报告

由于目前尚无可以在原系统下解决此病毒的方法（无任何工具可用），请考虑使用带有杀毒软件可独立启动的启动光盘/U盘，第二系统，或者重装系统

同时由于所有盘均已染毒，切勿对任何盘进行双击、右键打开等操作

简单的方法是重装C盘后安装卡巴斯基，关闭系统还原，升级，重启，扫描全盘，找到的病毒选择清除，同时勾选应用到所有（减少工作量）；不能清除的请删除（病毒本体是只能删除的）

对上述操作不熟悉的可以利用搜索引擎寻找

如果对自己手工杀毒有兴趣的，请参考Virus版的2208贴
【lsass/smss/pagefile.pif分析解决】

===========附2208贴=============

发信人: btlulu (都怪我太xl), 信区: Virus
标  题: lsass/smss/pagefile.pif分析解决（http://360.gxg）
发信站: 日月光华 (2008年01月28日15:40:09 星期一), 站内信件

lsass/smss/pagefile.pif分析解决（网页被插入http://360.gxgxy.net/count11.htm）

发信人: WindBellKL (WindBell-卡拉), 信区: Virus_Security
标  题: lsass/smss/pagefile.pif分析解决
发信站: 北大未名站 (2008年01月14日16:49:58 星期一), 转信

现象：
杀IceSword, Darkspy , Wsyscheck , Sreng ,Hijackthis , OllyDbg ( -_-|| ),常见杀软, 卡巴的界面出不来
不杀任务管理器和Process Explorer

SMSS.exe lsass.exe 互相守护
进程处于核心态（卡巴的进程自守护措施） Process Explorer杀进程无效
锁定Boot.ini（XDelBoX失效）
破坏安全模式，隐藏文件
感染exe，htm，html
有ARP传播能力

启动过程：

Session 启动 的 PengdingRename把 C:\xxxxxx.log （随机数字）
复制到  开始菜单-》启动 ~.exe.xxxx.exe
这个~.exe.xxx.exe再启动C:\windows\system32\com\smss.exe和lsass.exe
lsass和smss启动时会不断激活C:\windows\system32\calc.exe和cmd.exe

其他启动方法
AppInit_Dll ： C:\windows\system32\dnsq.dll
一个BHO ： C:\windows\system32\com\netcfg.dll
Autorun项目： pagefile.pif

同时各盘根目录还有xxxx.exe的副本，C:\windows\system32\com\里面还有netcfg.dll副本netcfg.000

由于此病毒比较暴力，一旦有工具软件的进程出现立刻关机（暴汗……）
只能用深山红叶慢慢删掉

由于嵌套的太厉害，如果有一个没删掉就会复发或者，在过了XP滚动条以后
黑屏 或是一堆程序报错并只能关机 或是explorer动不动崩溃
截止至2007.01.14卡巴不能杀出，似乎只能格全盘解决
------------------------------------------------
2007.01.24 卡巴斯基已经可以清除 不用再格了
Over

在我的映像中，下雪都是六边形的
现在才知道，原来“雪”也可以是透明的小球..-,-bbb

这是前天下“雪”之前的路面，下午冰已经化了一点，所以看得到白色
如果是早上出来，直接是亮晶晶的透明的冰...



这就是所谓的下的“雪”，豆大的冰粒，溅到阳台里面
我拍照的时候已经到了下午，冰粒子已经融化了不少，听外婆说早上起来她看到有黄豆大的..@_@..



再来一张大一点的特写，都是在阳台的木板上随便拍的（点击看大图）



从阳台上往下拍，你能想象吗？地上白茫茫的都不是六角形的雪花，而是这种鬼东西...