[公告]千橡互联流氓软件感染EXE终于进化成最终版本 和所有EXE同归于尽 无法修复
http://www.cnbeta.com/modules.php?name=News&file=article&sid=16508
自从之前投递过千橡互联的流氓软件感染EXE以及修复工具后,见:
千橡互联流氓软件感染exe病毒图形界面查杀工具 完美修复被感染EXE
千橡互联流氓感染EXE文件 (附修复程序)
不断收到网友报告的不同变种,也在不断升级着我的专杀工具,就在QIHOO和YAHOO两只虎不断在ROOKIT领域PK的时候,千橡也在不断升级着自己感染EXE的手段,我也在不断完善自己的专杀工具,从cmd版本到gui版本,一直到前不久发布的gui 1.5版本,智能查杀引擎可以查出所有可能变种,并完全修复各个可能变种的被感染EXE到原有状态
终于,可能千橡可能看到简单的变换感染方式和EXE结构已经不能躲过专杀,终于出绝招了
今天早上一个朋友给我的变种大大出乎我的意料
引用鲁迅先生的一句话:
==================================================================
我向来是不惮以最坏的恶意,来推测中国人的,然而我还不料,也不信竟会下贱到这地步
==================================================================
这个变种居然在感染EXE后直接把原来的EXE数据丢弃掉!只将原来EXE的图标替换为自己
导致被感染的EXE全部变为只有108544字节(106KB左右)
原来被感染的EXE会释放出被感染前的EXE文件,前面加上~,比如cmd.exe,会释放出cmd~.exe
这个版本,也是会释放出*~.exe,但是这个exe当然不会是原来的EXE(已经被丢弃了),而是它自己,然后这个东西会去几个网站下载这两个文件,并运行
19790205.exe
cert.exe
这两个都是包含了千橡互联两个主打流氓软件:IE-BAR,dmcast的安装包
也就是用户机器上的exe都会被直接替换为这个下载器,然后运行被感染后的EXE(文件图标和被感染前一致)
由于原exe文件数据已被丢弃,恢复已是不可能的
现在好象还没有杀毒软件对该变种报毒
但是即使报毒也是没有可能修复原文件的了
我的专杀也仅能检查到该变种存在,无法对exe进行修复了
只能对千橡说一句:人不能无耻到这种地步!!
恭喜千橡:
流氓软件做到这么狠的地步,已经超越一般的感染EXE病毒(比如Win下的Parite病毒) 比之过去那种直接格盘锁盘的病毒有过之而无不及(同时还可以给自己的流氓广告软件增加超大的下载安装量)
同时我不明白我国法律为什么仍让这么一个制作病毒的公司逍遥法外?