瑞星卡卡安全论坛
mopery - 2007-1-27 1:06:00
今天刚抓的..全新的..象三无产品..
运行样本..
释放文件
C:\WINDOWS\system32\drivers\sppolsv.exe
创建启动项
[software\microsoft\windows\currentversion\run]
"svcshare"="C:\WINDOWS\system32\drivers\sppolsv.exe"
修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
尝试关闭窗口
防火墙
进程
尝试关闭窗口
防火墙
进程
杀毒
virusscan
nod32
网镖
毒霸
瑞星
江民
超级兔子
优化大师
木马清道夫
卡巴斯基反病毒
symantec antivirus
duba
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword
msctls_statusbar32
尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
regedit.exe
删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
搜索感染除以下目录外的所有.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone
删除 .gho 文件
在访问过的目录下生成 desktop_.ini
文件用弱口令访问区域内的计算机(gamesetup.exe)...
留下的字:
sgryhtrjgfjgfh!
sdfgsdgdfsgsdfg!
sdfg!4
sdfg!5
sdfg!6
sdfgsdfg!10
sdfgsdfgfd!11
sdfgsdfg!12
sdfgsdfg!13
sdfgsdfg!14
sdfgsdfg!15
以上通过反汇编看的..
简要说说为什么说他三无..
第一次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..
第二次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..还能开任务管理器 注册表 等等..
第三次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..不修改隐藏服务..
这象 whboy 手里出的熊猫么? 太次了..不感染.. 而且每次运行都会有点缺陷..始终不感染..还不释放 desktop_.ini 太次了..
要是谁写的.或者谁改的..我要鄙视下那个人..玷污这"熊猫烧香"..
終生學習 - 2007-1-27 1:12:00
呵呵 高手讲话的语气是不一样的。。。。
刚刚看了你和瑞星工程师在网易做的访问,其中还有艾玛版主。。
不错 不错,奇怪的是,为什么没有BAOHE版主的访问。。。
http://news.163.com/07/0126/05/35O6E1L600011229.html 我很讨厌那个死记者,拍摄第一张图片的时候不拍正面,便要从上到下拍,,那我们网民还看个头,想看看反汇编是怎么反都不行
popodog - 2007-1-27 1:13:00
某种意义上熊猫烧香代表着中国的暗处的网络力量
mopery - 2007-1-27 1:24:00
| 引用: |
【終生學習的贴子】
呵呵 高手讲话的语气是不一样的。。。。
刚刚看了你和瑞星工程师在网易做的访问,其中还有艾玛版主。。
不错 不错,奇怪的是,为什么没有BAOHE版主的访问。。。
我很讨厌那个死记者,拍摄第一张图片的时候不拍正面,便要从上到下拍,,那我们网民还看个头,想看看反汇编是怎么反都不行
……………… |
那是19日的样本.. 可以看清楚的..
bobo126 - 2007-1-27 1:33:00
haha
像猪虎虎 - 2007-1-27 1:47:00
| 引用: |
【mopery的贴子】
那是19日的样本.. 可以看清楚的..
……………… |
我是新手!请多关照!
我仔细放大了看了,还是看不清楚。
汗~~~~~~
afkp4e7 - 2007-1-27 1:47:00
总干这无聊的事
怎么不加个操作系统语言选择功能
只感染非中文系统多好
philem - 2007-1-27 1:50:00
高手就是不一样
鸟儿天上飞 - 2007-1-27 1:54:00
呵呵...有意思..
johnwillam - 2007-1-27 2:02:00
厉害 佩服 谢谢你对受害网民的贡献 谢谢:)
xudan0201 - 2007-1-27 2:14:00
http://news.163.com/07/0126/05/35O6E1L600011229.html
感谢Mopery、艾玛、农夫、史瑀和同事们,I 服 you !
我感觉这场没有硝烟的战争还没停止!
希望瑞星以民间有Mopery、艾玛、农夫等这样的杀毒高手为财富!
总有一天whboy会改邪归正的
something - 2007-1-27 2:26:00
谁有熊猫烧香的联系方式.我要和他做朋友!学点东西找点好一点的工作
猪知山 - 2007-1-27 2:28:00
N多人认为威金和熊猫一回事
猪一一一顿 - 2007-1-27 3:21:00
这么晚了还在工作,真是佩服。
还有一个问题想问一下。
就是如何在dos下删除一个设置为系统文件的文件。
今天给同学删除非系统盘下的autorun.inf文件。iceworld不行,后来用的killbox,我想还是学会在dos下删除比较好。在dos下直接del显示为找不到该文件。
流浪江儿 - 2007-1-27 4:21:00
谢谢高手们,在确,,现在
“灯泡男子”与“熊猫烧香”是不是一样的呢?但是它们都类似,危害也大,,
水树雨下 - 2007-1-27 6:04:00
| 引用: |
【mopery的贴子】今天刚抓的..全新的..象三无产品..
简要说说为什么说他三无..
第一次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..
第二次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..还能开任务管理器 注册表 等等..
第三次跑..不感染..分区释放 setup.exe 和 autorun.inf 禁服务 删启动..不修改隐藏服务..
这象 whboy 手里出的熊猫么? 太次了..不感染.. 而且每次运行都会有点缺陷..始终不释放 desktop_.ini 太次了..
要是谁写的.或者谁改的..我要鄙视下那个人..玷污这"熊猫烧香"..
……………… |
这玩艺也有人搞假冒
寻找Alexandra - 2007-1-27 8:21:00
刚在新浪新闻上看见lz和whboy的新闻,上来注册了个看看
高歌猛进 - 2007-1-27 8:42:00
树欲静而风不止
冰雨2006 - 2007-1-27 9:04:00
大哥你出名了哈,猫叔这下郁闷了哈,大哥你有QQ么我的309941785
心心相通 - 2007-1-27 9:21:00
这熊猫,笨来笨去的现在折腾的还挺快的,搞的网络界人心惶惶的。我是从事网站后台管理的,可别让我中招了。(中了也好,我就可以休息了)
eeeeeqqqqq - 2007-1-27 9:30:00
楼主强悍
在其它论坛看见网易的那个报道
我今天到这个报道了
楼主辛苦了
mopery - 2007-1-27 9:36:00
| 引用: |
【水树雨下的贴子】
这玩艺也有人搞假冒
……………… |
三无 盗版 侵犯版权..
不知道病毒有这些不..
没落的神剑 - 2007-1-27 9:40:00
| 引用: |
【afkp4e7的贴子】总干这无聊的事
怎么不加个操作系统语言选择功能
只感染非中文系统多好
……………… |
这注意不错哦
zhenyupc - 2007-1-27 9:44:00
我怎么自动退群了。MOPERY。老兄,是不是您把我给踢了? 我特别想加入次群,请老大加我吧,跪谢了。289162967
zhenyupc - 2007-1-27 9:45:00
我怎么自动退群了。MOPERY。老兄,是不是您把我给踢了? 我特别想加入次群,请老大加我吧,跪谢了。289162967
冰雪枫0820 - 2007-1-27 9:45:00
新来的!看看都是高手,偶公司老总的本本给"熊猫烧香"了。自己的本本找了几个杀毒软件杀了一下,好多病毒!
冰雪枫0820 - 2007-1-27 9:50:00
新来的,多多照顾!偶老总的本本给"熊猫烧香"!
lhy441 - 2007-1-27 9:50:00
hehe
大显993 - 2007-1-27 9:53:00
牛比
4132 - 2007-1-27 9:54:00
楼主出名了!
狂顶!
是金子到哪里都会发光!附件:
827092200712794538.jpg
© 2000 - 2026 Rising Corp. Ltd.