导致exe文件名出现~的感染型病毒(千橡互联流氓软件)专杀工具 完美修复被感染EXE

以下转自：安全软件专区 -> ≮『病毒救援』≯ -> 【公告】

导致exe文件名出现~的感染型病毒(千橡互联流氓软件)专杀工具 完美修复被感染EXE，
exe文件名出现~的感染型病毒(千橡互联流氓软件)专杀工具 完美修复被感染EXE

下载地址:
http://free.ys168.com/?mj0011

2006-10-21   千橡专杀工具升级到V1.6版 新增多个新变种的查杀

帖子地址：http://bbs.crsky.com/read.php?tid=841179

但是也只能查杀二代变种。

以下来自cnBeta.COM（作者）：
MJ0011的技术分析和投递:
自从之前投递过千橡互联的流氓软件感染EXE以及修复工具后,见:
千橡互联流氓软件感染exe病毒图形界面查杀工具 完美修复被感染EXE
千橡互联流氓感染EXE文件 (附修复程序)
不断收到网友报告的不同变种,也在不断升级着我的专杀工具,就在QIHOO和YAHOO两只虎不断在ROOKIT领域PK的时候,千橡也在不断升级着自己感染EXE的手段,我也在不断完善自己的专杀工具,从cmd版本到gui版本,一直到前不久发布的gui 1.5版本,智能查杀引擎可以查出所有可能变种,并完全修复各个可能变种的被感染EXE到原有状态
终于,可能千橡可能看到简单的变换感染方式和EXE结构已经不能躲过专杀,终于出绝招了

今天早上一个朋友给我的变种大大出乎我的意料
引用鲁迅先生的一句话:
==================================================================
我向来是不惮以最坏的恶意,来推测中国人的,然而我还
不料,也不信竟会下贱到这地步
==================================================================

这个变种居然在感染EXE后直接把原来的EXE数据丢弃掉!只将原来EXE的图标替换为自己
导致被感染的EXE全部变为只有108544字节(106KB左右)

原来被感染的EXE会释放出被感染前的EXE文件,前面加上~,比如cmd.exe,会释放出cmd~.exe
这个版本,也是会释放出*~.exe,但是这个exe当然不会是原来的EXE(已经被丢弃了),而是它自己,然后这个东西会去几个网站下载这两个文件,并运行
19790205.exe
cert.exe
这两个都是包含了千橡互联两个主打流氓软件:IE-BAR,dmcast的安装包

也就是用户机器上的exe都会被直接替换为这个下载器,然后运行被感染后的EXE(文件图标和被感染前一致)

由于原exe文件数据已被丢弃,恢复已是不可能的
现在好象还没有杀毒软件对该变种报毒
但是即使报毒也是没有可能修复原文件的了

我的专杀也仅能检查到该变种存在,无法对exe进行修复了

只能对千橡说一句:人不能无耻到这种地步!!

恭喜千橡:
流氓软件做到这么狠的地步,已经超越一般的感染EXE病毒(比如Win下的Parite病毒) 比之过去那种直接格盘锁盘的病毒有过之而无不及(同时还可以给自己的流氓广告软件增加超大的下载安装量)

同时我不明白我国法律为什么仍让这么一个制作病毒的公司逍遥法外?

===============================================

本来安全区有着样的帖子，但是鉴于目前网上没有见到任何可以免疫和解决的办法，
我在20号中的此类病毒，幸好用上面的工具修复了，如果中了最新的病毒，我的100多G的资料岂不……，哭死……

目前各大杀毒软件无一报毒，没有任何防范措施，谁能告诉我怎么办？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课