迪克老豆 - 2008-10-19 12:21:00
U盘里杀不掉的.vbs和C盘里杀不掉的net1
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)附件:
病毒.rar
tjcum210210 - 2008-10-19 13:45:00
C:\Documents and Settings\admin\桌面\病毒\Dg2\setup.exe
创建文件C:\Program Files\snav\Snav.dll
创建注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{635A7AFA-FB22-4A4E-8AB8-C85CFAB14626}
tjcum210210 - 2008-10-19 14:19:00
setup.exe这个病毒看的我好晕啊,peid不出是什么壳,直接反看出来获得客户窗口区域坐标,应该是模拟关闭窗口
~还有nsu.tmp,Au_.exe什么的
打开命令进程,寻找特权值,调整命令的权限,得到关机权限??
好像跟注销、重启、关机有关
然后我把它手动脱壳了(因为脱壳工具无法识别),虽然脱完之后说不是有效的pe文件了:kaka6:
但是再反的时候却可以看见病毒的真正动作,就是创建snav文件夹和C:\Program Files\snav\Snav.dll文件
高手来指点我一下,实在不明白:kaka2:
baohe - 2008-10-19 15:21:00
原帖由 tjcum210210 于 2008-10-19 14:19:00 发表
setup.exe这个病毒看的我好晕啊,peid不出是什么壳,直接反看出来获得客户窗口区域坐标,应该是模拟关闭窗口
~还有nsu.tmp,Au_.exe什么的
打开命令进程,寻找特权值,调整命令的权限,得到关机权限??
好像跟注销、重启、关机有关
然后我把它手动脱壳了(因为脱壳工具无法识别),虽然脱完之后说不是有效的pe文件了:kaka6:
但是再反的时候却可以看见病毒的真正动作,就是
setup.exe释放的文件:
附件:
您所在的用户组无法下载或查看附件setup.exe改动的注册表内容:
附件:
您所在的用户组无法下载或查看附件就是个DLL木马。
tjcum210210 - 2008-10-19 15:43:00
那么说未脱壳时看见的是假象:kaka2:
豪斯登堡新郎 - 2008-10-19 16:13:00
:kaka6:
Nullsoft PiMP Stub [Nullsoft PiMP SFX] *
© 2000 - 2025 Rising Corp. Ltd.