长江一号 - 2006-1-10 17:38:00
会自行关闭Microsoft AntiSpyware等反间谍软件.
热血传奇运行监控如下:
1、MIR.exe运行;
2、进行木马扫描;
3、读取mir.dat;
4、进程mir.dat随机生成dat或exe文件;(以下用xxxxxxxxx.dat或xxx.exe表示)
5、xxxxxxxxx.dat在传奇目录创建wsock32.dll并写入,查询结果是参数无效后删除;
以下是xxxxxxxxx.dat查询文件不存在后,就创建并写入,接着又查询结果参数无效后删除;
C:\shanda\Legend of Mir\data\csclass.exe
C:\shanda\Legend of Mir\data\wixm.exe
C:\shanda\Legend of Mir\data\kv_xp.exe
6、进程xxxxxxxxx.dat在c:\windows\查询文件,不存在就创建如下,最后查询文件参数无效后删除并关闭;
c:\windows\SLSERV.EXE
c:\windows\SLHOST.DLL
c:\windows\RUNDLL.EXE
c:\windows\services.exe
c:\windows\twain16.dll
c:\windows\H00KDLL.DLL
c:\windows\EXPLORER.COM
c:\windows\WINMGMT.EXE
c:\windows\CNS.DLL
c:\windows\vba.dll
c:\windows\assistse.exe
c:\windows\uninstall.exe
c:\windows\Winsys.exe
c:\windows\installss.exe
c:\windows\wsswinse.exe
c:\windows\dws.dll
c:\windows\VMCAP32.EXE
c:\windows\VMC.DLL
7、进程xxxxxxxxx.dat在c:\windows\system32\查询文件,不存在就创建如下,最后查询文件参数无效后删除并关闭;
c:\windows\system32\ASSISTE.EXE
c:\windows\system32\CMTASK.EXE
c:\windows\system32\MDVSN.DLL
c:\windows\system32\csrss32.exe
c:\windows\system32\WINMGR.EXE
等等
8、退出后xxxxxxxxx.dat被删除!
从6、7看出它可能含有典型的灰鸽子木马。
在下才疏学浅,望各位高手指正!
海色の月 - 2006-1-10 20:17:00
病毒exe是不是文件夹图标的?
长江一号 - 2006-1-11 21:31:00
| 引用: |
【海色の月的贴子】病毒exe是不是文件夹图标的?
........................... |
病毒跟图标没有多大关系(只要喜欢也可以是图片图标),只要传奇一退出,这个文件就会被删除;怀疑是盛大内部所为,只要某一天发送正确参数,所有的用户都不能幸免..........
海色の月 - 2006-1-11 21:38:00
病毒exe是不是文件夹图标的?
是,还是不是?
还是你没有看到过?
长江一号 - 2006-1-12 16:20:00
监控过后文件就会被删除,没有注意!如果想知道可以自己监控看看,我的传奇已经删除了!
不言放弃 - 2006-1-12 16:28:00
不懂
海色の月 - 2006-1-12 21:51:00
| 引用: |
【长江一号的贴子】监控过后文件就会被删除,没有注意!如果想知道可以自己监控看看,我的传奇已经删除了!
........................... |
好吧,那算了,谢谢。
© 2000 - 2026 Rising Corp. Ltd.