endurer 原创
2006-09-12 第1版
有一位朋友,他把移动硬盘接到电脑上使用,上午还正常,但下午用时则有数据保护的出错提示信息。
该朋友电脑使用的是Win XP SP2,因未联网,所以不能从网上下载 HijackThis 等软件来分析。
打任务管理器,发现一个名为wincfgs.exe的进程,图标为一个黄色问号,十分可疑,终止了。
打开命令提示符窗口搜索文件:
文件在C:/Windows/system32中,具有系统、隐藏、只读属性,用WinRAR打包备份后删除。
打开注册表编辑器,搜索包含“wincfgs”的项目,发现
再检查移动硬盘,在根目录下发现autorun.inf。文件内容如下:
居然有个文件autorun.exe藏在回收站里。
用fc命令比较,autorun.exe 与 前面发现的wincfgs.exe完全相同。
瑞星报为 Worm.UsbSpy.a。
STATUS: FINISHED
Complete scanning result of "wincfgs.exe", received in VirusTotal at 09.12.2006, 06:40:13 (CET).
Antivirus | Version | Update | Result |
AntiVir | 7.1.1.16 | 09.11.2006 | Worm/Delf.AJ.1 |
Authentium | 4.93.8 | 09.11.2006 | W32/Sillyworm.RE |
Avast | 4.7.844.0 | 09.11.2006 | Win32:Delf-AQT |
AVG | 386 | 09.11.2006 | Worm/Delf.GW |
BitDefender | 7.2 | 09.12.2006 | Trojan.Agent.AAE |
CAT-QuickHeal | 8.00 | 09.11.2006 | Worm.Delf.aj |
ClamAV | devel-20060426 | 09.12.2006 | Worm.Delf-21 |
DrWeb | 4.33 | 09.11.2006 | Trojan.MulDrop.3780 |
eTrust-InoculateIT | 23.72.122 | 09.12.2006 | Win32/USBSpy.1pk!Trojan |
eTrust-Vet | 30.3.3071 | 09.11.2006 | Win32/Bypuss.A |
Ewido | 4.0 | 09.11.2006 | Worm.Delf.aj |
Fortinet | 2.77.0.0 | 09.11.2006 | W32/Delf.AJ!worm |
F-Prot | 3.16f | 09.11.2006 | W32/Sillyworm.RE |
F-Prot4 | 4.2.1.29 | 09.11.2006 | W32/Sillyworm.RE |
Ikarus | 0.2.65.0 | 09.11.2006 | no virus found |
Kaspersky | 4.0.2.24 | 09.12.2006 | Worm.Win32.Delf.aj |
McAfee | 4849 | 09.11.2006 | Generic MultiDropper.b |
Microsoft | 1.1560 | 09.12.2006 | no virus found |
NOD32v2 | 1.1750 | 09.11.2006 | Win32/Delf.AJ |
Norman | 5.90.23 | 09.11.2006 | W32/Delf.OMO |
Panda | 9.0.0.4 | 09.11.2006 | Adware/Look2Me |
Sophos | 4.09.0 | 09.11.2006 | W32/Delf-CRK |
Symantec | 8.0 | 09.12.2006 | no virus found |
TheHacker | 5.9.8.209 | 09.11.2006 | W32/Delf.aj |
UNA | 1.83 | 09.11.2006 | Worm.Win32.Delf |
VBA32 | 3.11.1 | 09.12.2006 | Worm.Win32.Delf.aj |
VirusBuster | 4.3.7:9 | 09.11.2006 | Worm.Delf.AZX |
Aditional Information
File size: 47104 bytes
MD5: 07adddef653a702b9a11edbcee07e82b
SHA1: 97729f6df1cd96b61e3e2bc1a841adf1720e2ec5
