DummyCom病毒统计贴

jFz

中招的进来报个道，让我们集体等待专杀，amen

:sweat: :sweat:

myquell

什么病毒？不知道中没中 :sweat:

SantaCruz

有什么症状？:sweat:

52756901

我下了专杀
貌似杀不掉

jFz

我用ie类型的浏览器打出这个词，浏览器就被抹布了，现在用的浏览器居然是周伯通，周伯通果然神通，不会被这个病毒河蟹……牛x                                  近日，360安全中心截获了一款新的木马病毒，命名为“Dummycom”， 该木马病毒通过U盘、ARP攻击及网页漏洞等多种方式传播，并会在计算机中的文件反复感染。属于需进行紧急处理的恶性木马病毒，360安全中心独家发布专杀工具（http://bbs.360safe.com/viewthread.php?tid=398918）,请广大用户及时下载进行查杀。
　　该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等大家所熟知的安全类软件的运行，除此之外还会删除系统中含有“360”字样的文件。感染病毒后，进程中会多出smss.exe和lsass.exe进程，使用任务管理器结束后会造成计算机重启。

　　据分析，该病毒使用的关闭安全软件的方法和以往不同，其通过发生一堆垃圾消息，导致安全程序的崩溃，连icesword（冰刃）也未能幸免。其在运行后，会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在关机瞬间会写一个文件到开始菜单的启动项中；病毒文件名一般为“~.exe”。需要注意的是，该病毒使用极其恶毒的感染方式，导致文件被感染后无法使用且部分文件无法恢复。

　　360安全专家提醒用户，此类恶性木马病毒需及时使用专杀工具进行查杀。并升级360安全卫士到最新版本，及时修补系统漏洞，进行定期扫描。以避免损失。

　　被此病毒感染后的.exe文件暂时无法修复，网友们上网一定要小心，确保自己登陆的网站是安全正规的。

[ 本帖最后由 jFz 于 2008-3-9 16:59 编辑 ]

GBPUSD

裸奔中，

现在是user权限，磁盘根目录和系统目录不可写:P


谁PM个网页我试试

jFz

3.3发布的1.4专杀，没想到，专杀也完蛋了，出现了新的变种，一有变异，被感染者就会自动下载，并且感染c盘目录下的更多文件，包括pagefiles boot.ini等，所以，重装系统应该没有用，目前还不知道全盘格式化会不会杀掉，我们现在就是肉鸡，肉鸡 肉鸡 肉鸡 肉鸡，祝肉鸡们被感染快乐，hf

[ 本帖最后由 jFz 于 2008-3-9 17:05 编辑 ]

jFz

原帖由 GBPUSD 于 2008-3-9 17:02 发表
裸奔中，

现在是user权限，磁盘根目录和系统目录不可写:P


谁PM个网页我试试

谁知道他会不会利用你administrator权限，变种太快了，唉

minichaos

360买凶？:mad:

jFz

ravDiskGen.rar 可以尝试用这个，看看能不能全部杀掉 试过了，刚打开就被抹布，人要崩溃了

[ 本帖最后由 jFz 于 2008-3-9 17:12 编辑 ]

jFz

我真的生气了，结论见签名>:o >:o

myquell

原帖由 jFz 于 2008-3-9 17:03 发表
3.3发布的1.4专杀，没想到，专杀也完蛋了，出现了新的变种，一有变异，被感染者就会自动下载，并且感染c盘目录下的更多文件，包括pagefiles boot.ini等，所以，重装系统应该没有用，目前还不知道全盘格式化会不会杀掉，我们现在就是肉鸡，肉 ...

我小白，重装系统不都是要格C盘的么？怎么会没用？

GBPUSD

光盘启动，备份能备份的文件之后全干掉得了

冬马由美

我的进程里只有smss.exe而没有lsass.exe，算不算中招了啊:awkward:

狼人之狼

不用IE就没事了啊！！

GBPUSD

可能是感染后改了全硬盘的exe文件，还在根目录下放了autorun.ini和安装文件

跟威金是一样的下三滥手法，重装之后双击盘符或者运行了其他盘带毒exe一样中毒

jFz

原帖由 myquell 于 2008-3-9 17:16 发表



我小白，重装系统不都是要格C盘的么？怎么会没用？

格了C盘，但病毒会感染其他盘的EXE文件，当你打开C盘以外的盘符时或者链接USB闪存设备时就又被感染了，最惨是我上班的地方，这几天系统维护员每天要安装10次左右的系统

jFz

原帖由 冬马由美 于 2008-3-9 17:18 发表
我的进程里只有smss.exe而没有lsass.exe，算不算中招了啊:awkward:

病毒得不到system底层权限的，检查一下那两个进程的权限是什么就知道了，gl

remus

映像劫持还是钩子？

xiaobanzhu

年末找杀毒软件离线升级包时中的:awkward:

重装后不要点其他盘，包括桌面“我的电脑\",  开始 资源管理器 进入

红水兵

原帖由 冬马由美 于 2008-3-9 17:18 发表
我的进程里只有smss.exe而没有lsass.exe，算不算中招了啊:awkward:

http://baike.baidu.com/view/9378.htm
http://baike.baidu.com/view/134092.htm

不知道百度说的对不对

Macro

原帖由 GBPUSD 于 2008-3-9 17:19 发表
可能是感染后改了全硬盘的exe文件，还在根目录下放了autorun.ini和安装文件

跟威金是一样的下三滥手法，重装之后双击盘符或者运行了其他盘带毒exe一样中毒 ...

自从去年被AV日了之后，养成了不直接打开盘符的习惯，都用文件夹模式选取文件

顺便每天看一次硬盘地下有没有自动运行

Macro

顺便，autorun.ini类病毒可以通过超级巡警这个小软件彻底免疫

myquell

原帖由 Macro 于 2008-3-9 17:29 发表


自从去年被AV日了之后，养成了不直接打开盘符的习惯，都用文件夹模式选取文件

顺便每天看一次硬盘地下有没有自动运行

文件夹模式+1

很方便啊

GBPUSD

autorun的话可以在根目录建个名字为autorun.ini和autorun.inf的文件夹，然后隐藏就好了

或者放弃管理员权限，一般只用user权限上网:cool:


系统接连出问题解决不了的时候就会很恼火

表现是特别兴奋，心脏跳得很快，跟打了狗血一样，饭也不吃了觉也不睡了

LZ当心，上次我修电脑修了一天差点昏死在家里:o

Macro

http://bbs.saraba1st.com/thread-342689-1-1.html

autorun类病毒永久疫苗，强烈推荐

jFz

那么软件explorer 2x更好用了

冬马由美

原帖由 红水兵 于 2008-3-9 17:27 发表

http://baike.baidu.com/view/9378.htm
http://baike.baidu.com/view/134092.htm

不知道百度说的对不对

多谢，看来我的机器还没事:heart:

Macro

原帖由 jFz 于 2008-3-9 17:35 发表
那么软件explorer 2x更好用了

对付这类在系统近程里植入DLL的玩意用工具软件一般都能对付

我现在是Blackbox+Directory Opus 9

彻底把explorer.exe舍弃了

JB-5th

进程中明明有，但是一切正常，尊诡异:awkward:
原来都是正常进程，没中毒:awkward:

Macro

原帖由 JB-5th 于 2008-3-9 17:43 发表
进程中明明有，但是一切正常，尊诡异:awkward:
原来都是正常进程，没中毒:awkward:

你用专业工具看一下里面装载的DLL来源
基本上不是系统目录的都有问题

WINDOWS优化大师带的进程管理也可以凑合用，非M$官方进程都用红字标出来，一目了然

看看是不是自己安装的软件，如果不是揪出来干掉，再删除文件基本就成了

JB-5th

原帖由 Macro 于 2008-3-9 17:59 发表


你用专业工具看一下里面装载的DLL来源
基本上不是系统目录的都有问题

WINDOWS优化大师带的进程管理也可以凑合用，非M$官方进程都用红字标出来，一目了然

看看是不是自己安装的软件，如果不是揪出来干掉，再删除文件基本 ...

我运行MSCONFIG，启动项里没有

jFz

新发现：所有进程管理软件，包括诺顿processviewer类似的全部打不开，冰刀被抹布，还有hijackthis没有尝试，继续研究，软件中最好用的xplorer2被抹布，没有可以用的软件了，QQ被抹布，除非用外挂（coralqq）打开，firefox被抹布，所有ie类软件，输入关键词dummycom马上抹布，输入360网站抹布，安装任何一款杀毒软件，抹布!确实很顽强，论实力，这款病毒继承了熊猫和VKING av的所有传统，他不是一个人，他不是一个人！！！

yyahtt

原帖由 jFz 于 2008-3-9 17:22 发表

病毒得不到system底层权限的，检查一下那两个进程的权限是什么就知道了，gl

system...=..= 难道我中招了...

Macro

原帖由 JB-5th 于 2008-3-9 18:05 发表

我运行MSCONFIG，启动项里没有

我说的是DLL植入动态链接库，至于单独的EXE很容易查出来

不过，不推荐用MSCONFIG，很多病毒会自动生成一个MSCONFIG.COM来忽悠你

Macro

Dummycom木马简介：

近日，360安全中心截获了一款新的木马病毒，命名为“Dummycom”，该木马病毒通过U盘、ARP攻击及网页漏洞等多种方式传播，并会在计算机中的文件反复感染。属于需进行紧急处理的恶性木马病毒，360安全中心独家发布专杀工具（点击这里立刻下载），请广大用户及时下载进行查杀。

该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等大家所熟知的安全类软件的运行，除此之外还会删除系统中含有“360”字样的文件。感染病毒后，进程中会多出smss.exe和lsass.exe进程，使用任务管理器结束后会造成计算机重启。

据分析，该病毒使用的关闭安全软件的方法和以往不同，其通过发生一堆垃圾消息，导致安全程序的崩溃，连icesword（冰刃）也未能幸免。其在运行后，会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在关机瞬间会写一个文件到开始菜单的启动项中；病毒文件名一般为“~.exe”。需要注意的是，该病毒使用极其恶毒的感染方式，导致文件被感染后无法使用且部分文件无法恢复。

360安全专家提醒用户，此类恶性木马病毒需及时使用专杀工具进行查杀。并升级360安全卫士到最新版本，及时修补系统漏洞，进行定期扫描。以避免损失。

这玩意是不是只会干掉EXE文件？要是只杀程序的话到没什么，重装一次就好
我比较好奇这病毒的再生机制，最恶毒的方式也不过就是AV终结者那类点击盘符重复感染，要是格盘重装之后不上这个当，基本没问题吧

軋間紅摩

这东西确实可怕....:(

jFz

以后装xp不用explorer做shell了，准备用资源占用低的bblean

攻守俱其

MARK
难道要逼我用linux么？

Macro

原帖由 jFz 于 2008-3-9 23:05 发表
以后装xp不用explorer做shell了，准备用资源占用低的bblean

我早就说过了，BLACKBOX才是王道