我们的networking正面临病毒问题,但是我无法识别,所以我们无法正确处理。
症状是病毒复制了一个word文档(.doc),生成一个同名的新档案,但带有一个exe扩展名,之后,病毒隐藏了原始文件。
所以,当用户点击文件时,它会自行传播。
Symantec AV似乎可以阻止它:每当病毒尝试生成exe时,symantec就会阻止它,但此时原始文件已经转换为隐藏,因此用户认为该文件已被删除。
赛门铁克将其标识为一个简单的特洛伊木马。 我已经开始全面扫描,但没有发现任何东西。
我试图知道病毒名称,以打击它。
有没有人有任何信息?
TIA,
短发
如果一个防病毒程序不能做这个工作,就抓住一些其他的人扫描他们。 没有,也绝不会有任何一种产品能够检测和清除所有病毒/恶意软件。
当面对一个棘手的病毒,我更喜欢从另一个运行的操作系统扫描驱动器。 可以将该驱动器作为另一台计算机上的第二个驱动器添加,或使用带有AV软件的启动CD。 有任何数量的病毒无法从正在运行的操作系统中清除。
在Virut和其他一些被VirusScan分类为Generic PWS.g的病毒中,曾经见过这样的行为。
如果你能得到一个干净的文件样本,你可以把它上传到专门扫描病毒样本的网站上。 谷歌应该产生这样做的网站列表。
我试着得到一个适用于Linux的liveboot CD,并以这种方式访问文件,因为Linux不执行Windows可执行文件(只要它没有运行WINE),OpenOffice不应该在Office文档中支持任何古怪的macros。 即使这样做,有效载荷应该被Linux惯例充分混淆,以使其免疫。
然后我得到文件,上传到网站,这应该让你知道你在处理什么。
这不像病毒是一种病毒的好日子。 今天,每个供应商都按照自己的惯例命名病毒,任何细微的变化都会突然变成一种新病毒(与竞争对手相比,我们可以捕获180亿个病毒!我们没有提及其中有179亿人有不同的错字!
如果你不熟悉Linux,你可以find一些有经验的人协助。 对于我们来说,Linux一直是解决这类问题的真正礼物。 这就像是一个沉重的环境清洁工处理恶意软件,如果有一个“事故”,而试图分析的情况下,将瘫痪Windows工作站。
现场的Macintosh也可以通过一种方式来处理文档,只要您没有安装集成的Windows仿真器/虚拟器,即可通过在线扫描器将file upload到在线扫描器点击一个可执行文件,如果你的文档正在使用某种forms的macros,并且安装了Office,我不知道它是否会尝试运行某些macros。 不过,不pipe怎样,平台的差异都应该让它感到困惑,除非你已经集成了WINE或者虚拟器,这样你才会意外地感染你的虚拟化环境。
Win32的:AutoIt的-CI
这可能是病毒的名称,它的基础上的一些假设,但那可能是它
对于这种情况,我喜欢在PC上运行HijackThis(http://free.antivirus.com/hijackthis/) 。 这为您提供了一个日志文件,提供了有关可能已被更改的常见设置的提示。 也许可以指出PC被感染的地方。
日志文件可以在线分析(不要接受这个分析为100%准确):
许多论坛也看HijackThislogging并给出好build议。
有一个很好的utils的启动光盘是Secured2k(下面提供)
http://community.mcafee.com/thread/6923
此启动光盘包含一个registry编辑器和一个名为Sysinternal的“ Autoruns ”工具。
自动运行在Windows中显示所有可能的启动位置。 当病毒将其path添加到加载“Explorer.exe”的registry项时,我觉得这很有用。