【病毒】我的電腦中了 W32/HLLP.Philis.ini 病毒

[sf928]

經了這幾天，我大概知道這病毒的特性
已經中毒並且發作的電腦會持續攻擊網路上有開啟分享的資料夾，植入_desktop.ini
被植入的電腦並不會有事，但是執行該資料夾底下的執行檔後，病毒就會發作，常駐記憶體，並且攻擊網路上的其他電腦。

基本上沒發作的電腦只要把 _desktop.ini 刪除即可，若是已經發作的電腦最好重灌系統並執行完全掃毒

目前就我所知除了 McAfee VirusScan Enterprise 8.0i Patch 13 對被攻擊植入 _desktop.ini 時有反應以外，其他防毒程式全掛，但是被感染的執行檔基本上防毒程式都會警示。

以上報告完畢。

-----------------------------------

以下是小弟這幾天發狠猛裝防毒軟體來試用，結果是全軍覆沒，我也沒精神再試其他的軟體了...

G.DATA AntiVirenKit 2007 17.0.6254 *失敗*
GRISOFT AVG Anti-Virus Professional Edition 7.5 *失敗*

BitDefender AntiVirus Plus v10 Build 108 *失敗*

http://img140.imageshack.us/my.php?image=004tr7.jpg

F-Secure Anti-Virus Client Security 6.02 build 12250 *失敗*

http://img224.imageshack.us/my.php?image=005rz0.jpg

Kaspersky Anti-Virus V6.0.1.405 *失敗*

http://img243.imageshack.us/my.php?image=kav405rh7.jpg

PC-Cillin 2007 *失敗*

http://img140.imageshack.us/my.php?image=pcc2007ob2.jpg

-----------------------------------

_desktop.zip **更正-裡面只有日期而已**
http://download.yousendit.com/7C7DC40872A10F35

真抱歉～小弟對此病毒的認知可能不夠深入

[inutoneko]

AV 不會對 _desktop.ini 有反應是正常的，因為內容只有 "2006/10/25"

你可以把檔案打開，那只是病毒用來記錄日期的檔案而已。

[fq4lxx92]

您的檔案內容就只有這10個字
2006/10/25

我想任何防毒軟體都掃不出來吧！

倒是下面這段68個字的文字，不論以任何形式存在，應該很多防毒軟體對它會有「感應」。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

[esjustin]

您的檔案內容就只有這10個字
2006/10/25

我想任何防毒軟體都掃不出來吧！

倒是下面這段68個字的文字，不論以任何形式存在，應該很多防毒軟體對它會有「感應」。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

樓主試試看NOD32...

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*是由EICAR這個組織所公佈的測試用病毒代碼,基本上,所有防毒都可以偵測到...

[proll]

這段代碼，如果保存在txt文檔內，由於txt文檔是不會帶毒的，所以不少防毒軟體默認設置不偵測txt，只要添加txt文檔偵測就可以檢查的到了。




另外Mcafee偵測ini後綴的文檔，是個錯誤的決定，這個並非病毒，而是病毒產生的乾淨文檔，別家不殺也是對的。

[hn1271n]

麻煩版主把被感染的檔案傳送給卡巴斯基吧