威金病毒捲土重來~~

發表時間: 2008-2-01 14:53 作者: 風流瀟灑來源: AVPClub Security Home

各位資安界的先趨們：
這個星期發現一個惡意程式，目前卡巴斯基的「免疫防護」判定為"Worm.P2P.gernic"，這個惡意程式的檔案名稱是 " temp01.exe"
執行這個惡意程式時，會自動感染電腦中所有的執行檔，更改執行檔的圖示，並加入惡意程式碼到被感染的檔案。原本300kb的執行檔，被感染後會變成約1.5MB。惡意程式在執行後，會有一個temp01.exe的執行程序。若某個執行檔被感染了，而後再執行這個被感染的執行檔，變會自動呼叫 temp01.exe 或 temp0.exe，持續重覆的感染，被感染的執行檔會失去原本的功能。這簡直就是威金與熊貓拜拜的翻版，請大家一定要格外小心。若不小心執行了 temp01.exe，請先將執行程序執止，用系統的搜尋功能，找尋這幾天有被更動過的「所有執行檔」。找到後檢查這些執行檔的檔案容量與圖示是否與以往一樣，並盡快將可疑樣本寄送給防毒軟體公司。

我也來說兩句 查看全部評論相關評論

ary1231 (2008-2-01 17:01:00)

威金病毒捲土重來再發威!
krichard2007 (2008-2-01 17:03:50)

好可怕呀......
大家請小心.
蛋頭 (2008-2-01 17:15:52)

之前重過威金一次....

那感覺太奇妙太猛了0.0 一瞬間一堆檔案都救不回來，只有一些幸存的RAR..
masterchief (2008-2-01 19:02:09)

這麼可怕的病毒會更改執行檔的圖示又會增加執行檔的容量。
integear (2008-2-01 19:53:01)

版上好像有發過類似樣本 .
sun88990 (2008-2-01 20:59:22)

我己經回報卡巴好幾次了..
不過目前還在等待消息...
krichard2007 (2008-2-01 21:04:45)

我記得.....
Viking和熊貓只會感染WINDOWS以外的....
我也中過....
那還算有良心...
我不知道至次的會不會把整個系統搞壞....
upside (2008-2-02 03:05:36)

http://www.avpclub.ddns.info/dis ... ighlight=temp01.exe

這一篇原來就是它的樣本拿來研究看看
integear (2008-2-02 08:26:07)

QUOTE:
原帖由 upside 於 2008-2-2 03:05 發表
 http://www.avpclub.ddns.info/dis ... ighlight=temp01.exe

這一篇原來就是它的樣本拿來研究看看
可是很多防毒死都認為沒問題,這種"免殺"好強 .
upside (2008-2-02 10:15:44)

刪除母體沒問題但問題是被感染的檔案
是否能清除乾淨才是重點
要好好研究看看
風流瀟灑 (2008-2-03 00:12:08)

關於temp01.exe卡巴斯基總部已經瞭解它的威脅，目前在測試中，但已確定會加入病毒特徵資料庫中。但最希望的還是能將被感染的檔案修復回來…目前我重要的工具已有數個執行檔被temp01.exe強暴啦
ㄚ一 (2008-2-03 00:16:18)

Kaspersky需要要求解毒
否則他們一般只提供偵測
但如果破壞是不可逆的那就另當別論
said411f (2008-2-03 22:08:31)

PC Tools Internet Security 2008

1.解壓縮

2.白老鼠直接執行temp01.exe
PC Tools Internet Security 2008攔截

已完成的掃描.rar
(2008-02-03 22:08:31, Size: 561 B , Downloads: 2)
integear (2008-2-04 22:50:07)

QUOTE:
原帖由 said411f 於 2008-2-3 22:08 發表
PC Tools Internet Security 2008

1.解壓縮

2.白老鼠直接執行temp01.exe
PC Tools Internet Security 2008攔截
4299
根本不是Trojan,PC Tools報錯類型還能解毒 .
風流瀟灑 (2008-2-04 23:28:07)

Hello:
給大家一個好消息，關於temp01.exe這個「電腦病毒(Computer Virus)」，注意，這是電腦病毒，不是「蠕蟲(Worms)」，卡巴斯基已可以偵測，威脅名稱為：Virus.Win32.Baklajan.a
還有，被這個病毒感染的檔案，卡巴斯基確定都可以「解毒」，以下是原廠的回覆：Yes, the treatment = desinfection will be added to the next update.
經過測試後，我的感染物件也全部都解毒了，解毒後的執行檔執行也正常。
另外，向大家說聲抱歉，因為temo01.exe是電腦病毒，而不蠕蟲。當時是我太急了，再測試後也確定，這個電腦病毒不會像蠕蟲一樣自我透過網路散佈。因此卡巴斯基總部也才判定為「病毒(Virus)」
感謝卡巴斯基總部給大家一個新年禮物~temp01.exe(Virus.Win32.Baklajan.a)狀況解除
亞勾鏈 (2008-2-12 17:27:18)

http://www.kaspersky.com.tw/KL-AboutUs/News2008/02n/0212.htm

內容安全管理領導廠商卡巴斯基實驗室台灣總代理奕瑞科技發佈於台灣地區流傳能大量感染系統執行檔的病毒，卡巴斯基命名為 Virus.Win32.Baklajan.a 並已提供解藥。這個病毒大多以垃圾郵件或者偽裝程式破解檔在網路上供人下載，欺騙使用者下載並執行病毒檔案，由於封裝手法特殊，導致許多舊版及簡易版防毒軟體無法測得。
當此病毒被執行後，將造成電腦系統中所有副檔名為.exe的執行檔將遭到全面性的感染，檔案的圖示會隨機顯示並且變大、而檔案大小將倍增為原檔案大小的三倍、檔案也完全無法運作等症狀；然而，Virus.Win32.Baklajan.a更以特殊的封裝手法，企圖躲避防毒軟體的偵測，許多舊版及簡易版防毒軟體因此無法測得，影響極大。

卡巴斯基已經將此病毒的解毒病毒碼更新至防毒資料庫中，若已有受感染之電腦，或發現電腦疑似出現上述的症狀，可至卡巴斯基防毒軟體官方網站www.kaspersky.com.tw 下載 30天免費試用軟體，安裝並進行掃描後，即可解毒恢復檔案的使用。
sun88990 (2008-2-12 19:02:19)

不知道以後還會不會出現類似變種??
juijui (2008-2-12 22:23:34)

好利害的毒，感謝提醒!!!
sun88990 (2008-3-24 15:16:16)

McAfee到今天還是沒加入病毒庫~
回報很多次了= =
upside (2008-3-24 15:26:30)

母體 temp1.exe 使用 pkill 可以刪除動作
但如果有感染狀況應該可以恢復原檔案
不過手邊沒有被感染的檔案
其他版有可否提供一隻呢謝謝