baohe - 2008-7-2 9:13:00
见到一个改写瑞星文件的病毒。
样本来自:http://bbs.janmeng.com/thread-774908-1-1.html
此毒貌似是1l1.exe的改良版。有很多行为与1l1.exe相似。
粗略观察到的动作有:
结束NOD32进程、结束windows安全中心、结束windows防火墙。从网络下载大量病毒。多DLL插入多个应用程序进程。
与原先那个 1l1.exe不同的是:这个down.exe在开启瑞星全部监控的条件下改写了瑞星的部分文件
附件: 您所在的用户组无法下载或查看附件
附上样本(密码:123)
附件: 您所在的用户组无法下载或查看附件
此毒的注册表改动如下:
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
样本来自:http://bbs.janmeng.com/thread-774908-1-1.html
此毒貌似是1l1.exe的改良版。有很多行为与1l1.exe相似。
粗略观察到的动作有:
结束NOD32进程、结束windows安全中心、结束windows防火墙。从网络下载大量病毒。多DLL插入多个应用程序进程。
与原先那个 1l1.exe不同的是:这个down.exe在开启瑞星全部监控的条件下改写了瑞星的部分文件
附件: 您所在的用户组无法下载或查看附件附上样本(密码:123)
附件: 您所在的用户组无法下载或查看附件此毒的注册表改动如下:
附件: 您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)