瑞星卡卡安全论坛

 附件: 您所在的用户组无法下载或查看附件是不是木马群啊

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

不是木马群
目前来看
木马的群dll不是这么命名的

目前瑞星已经可以查杀该文件

下载者 会下病毒 并且对其他病毒进行”免疫“ 黑吃黑

汗，看见病毒名了是不是。。。。

:kaka6:
.text:10002903                lea    eax, [ebp+FileName]
.text:10002909                push    eax            ; lpFileName
.text:1000290A                call    ds:GetFileAttributesA ; 查找那些文件名的文件并获得他们的属性
.text:10002910                test    al, FILE_ATTRIBUTE_DIRECTORY ; 如果是文件夹
.text:10002912                jnz    short loc_10002926
.text:10002914                cmp    eax, 0FFFFFFFFh ; 如果文件不存在
.text:10002917                jz      short loc_10002926
.text:10002919                lea    eax, [ebp+FileName]
.text:1000291F                push    eax            ; lpExistingFileName
.text:10002920                call    MoveFile
.text:10002925                pop    ecx
.text:10002926
.text:10002926 loc_10002926:                          ; CODE XREF: oleadp_4+4Dj
.text:10002926                                        ; oleadp_4+52j
.text:10002926                push    0              ; lpSecurityAttributes
.text:10002928                lea    eax, [ebp+FileName]
.text:1000292E                push    eax            ; lpPathName
.text:1000292F                call    ds:CreateDirectoryA ; 创建一个同名文件夹
.text:10002935                test    eax, eax
.text:10002937                jz      short loc_10002948
.text:10002939                push    FILE_ATTRIBUTE_READONLY or FILE_ATTRIBUTE_HIDDEN or FILE_ATTRIBUTE_SYSTEM ; dwFileAttributes
.text:1000293B                lea    eax, [ebp+FileName]
.text:10002941                push    eax            ; lpFileName
.text:10002942                call    ds:SetFileAttributesA ; 设置文件夹属性为只读隐藏系统

木马的qq群！！！！！！！！！哈哈．．．

额，我还没完全会看呢……
如果是文件夹应该是免疫文件夹
如果是文件怎么办了？
它创建同名属性隐藏的文件夹，也就是说如果没中过其它毒也不会再中了？

有其他病毒的情况
.text:10002869 sub_10002869    proc near              ; CODE XREF: oleadp_4+5Bp
.text:10002869
.text:10002869 ExistingFileName= byte ptr -104h
.text:10002869 lpExistingFileName= dword ptr  8
.text:10002869
.text:10002869                push    ebp
.text:1000286A                mov    ebp, esp
.text:1000286C                sub    esp, 104h
.text:10002872                push    esi
.text:10002873                lea    eax, [ebp+ExistingFileName]
.text:10002879                push    eax            ; lpBuffer
.text:1000287A                push    104h            ; nBufferLength
.text:1000287F                call    ds:GetTempPathA临时文件路径
.text:10002885                lea    eax, [ebp+ExistingFileName]
.text:1000288B                push    eax            ; lpTempFileName
.text:1000288C                push    0              ; uUnique
.text:1000288E                push    0              ; lpPrefixString
.text:10002890                push    eax            ; lpPathName
.text:10002891                call    ds:GetTempFileNameA临时文件名
.text:10002897                mov    esi, ds:MoveFileExA
.text:1000289D                push    1              ; dwFlags
.text:1000289F                lea    eax, [ebp+ExistingFileName]
.text:100028A5                push    eax            ; lpNewFileName
.text:100028A6                push    [ebp+lpExistingFileName] ; lpExistingFileName
.text:100028A9                call    esi ; MoveFileExA
.text:100028AB                test    eax, eax
.text:100028AD                jz      short loc_100028C2
.text:100028AD
.text:100028AF                push    4              ; dwFlags
.text:100028B1                push    0              ; lpNewFileName
.text:100028B3                lea    eax, [ebp+ExistingFileName]
.text:100028B9                push    eax            ; lpExistingFileName
.text:100028BA                call    esi ; MoveFileExA
.text:100028BC                neg    eax
.text:100028BE                sbb    eax, eax
.text:100028C0                neg    eax