本贴原文:
http://hi.baidu.com/killvir/blog/item/139bc895432b344bd0135e75.html2007-01-17 10:54
上午从狮子处获悉,发现如下这段文字信息:
这个你们看过吗
出来一个什么瑞星安全专家在线支持什么的东西
大家帮我看看是怎么回事 ,我图片上传到我的网络空间了
hxxp://www.%6E%6A%74%73%69%73.com/******/ravexpert.jpg hxxp://www.******.com73is.com.com/******/ravexpert.jpg
hxxp://i.i.com.com/****.1d/b.gif
hxxp://www.******.com/njsex/ravexp.exe
ravexp.exe瑞星杀毒软件图标
Version Information
====================
Operating System : 32-bit Windows
File Type : Application
File Sub-Type : Unknown
File Version : 19,1,0,33
Product Version : 19,1,0,33
============================================================
Product Name : espousal
File Description : Rising Online Security Expert Support Center
File Version : 19.01.0033
Product Version : 19.01.0033
Company Name : Beijing Rising Technology Co., Ltd.
Internal Name : RavExp
Legal Copyright : Copyright ?? 1998 - 2008 Rising Corp. Ltd. All Rights Reserved
Original FileName : RavExp.exe
SIZE : 61,440 字节
SHA-160 : BAEFEA7B6E80D3DA18D03060CADF20DC6660E031
MD5 : 8ACBAC220C5B383CA6E322C80CEAB66B
CRC-32 : 90F0CE6F
加壳方式:yoda's Protector 1.03.2 -> Ashkbiz Danehkar
编写语言:
传播方式:恶意网页、移动存储设备等
首先修改系统时间2007-01-17为2067-02-02 ,使一些杀毒软件失效,然后作案。
隐藏文件,复制自身到以下位置:
\%system%\sxs.exe
\%system32%\msconmie.com
\%system32%\msconfig.com
另外释放出来的病毒,卡巴斯基6最新病毒库可以挡住。又是sxs.exe。。。请大家及时升级杀毒软件,小心此毒!
PS:看文件命名ravexp,似乎就是exp嘛:-)
本贴原文:
http://hi.baidu.com/killvir/blog/item/139bc895432b344bd0135e75.html转贴注明出处 