相关日志:
============
服务:\\AB0D1570添加AB0D1570已停止 (自动) (系统)2007-2-24 23:13:48
============
进程:
路径: C:\Documents and Settings\VMWare-2000-20070218\Local Settings\Temp\pe.exe
PID: 780
信息: ASN.2 Runtime APIs (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\AB0D1570
注册表值: Description
类型: REG_SZ
值: AB0D1570
==============
父级进程:
路径: C:\WINNT\system32\SERVICES.EXE
PID: 208
信息: Services and Controller app (Microsoft Corporation)
子级进程:
路径: C:\WINNT\system32\AB0D1570.EXE
信息: ASN.2 Runtime APIs (Microsoft Corporation)
命令行:C:\WINNT\system32\AB0D1570.EXE -service
============
进程:
路径: C:\WINNT\system32\AB0D1570.EXE
PID: 936
信息: ASN.2 Runtime APIs (Microsoft Corporation)
对象:
路径: C:\WINNT\system32\WINLOGON.EXE
信息: Windows NT Logon Application (Microsoft Corporation)
==========
进程:
路径: C:\WINNT\system32\AB0D1570.EXE
PID: 936
信息: ASN.2 Runtime APIs (Microsoft Corporation)
对象:
路径: C:\WINNT\system32\WINLOGON.EXE
信息: Windows NT Logon Application (Microsoft Corporation)
=========
进程:
路径: C:\WINNT\system32\AB0D1570.EXE
PID: 936
信息: ASN.2 Runtime APIs (Microsoft Corporation)
对象:
路径: C:\WINNT\system32\WINLOGON.EXE
信息: Windows NT Logon Application (Microsoft Corporation)
可见这个程序还是跟病毒有联系的......
可惜这个网站的病毒后来会搞得Winlogon.exe崩溃、Windows 2000直接蓝屏挂掉,重启都一样......只能用VMWare回到一个snapshot......所以不能够验证这个8位随机文件名跟病毒究竟是什么关系。
本人猜测,这个8位随机文件名的文件本身不会做任何事情,就是只是负责保护病毒文件,因此UFO不幸外人测试它的时候并没有发现问题?
再想一想,难不成现在有一些Ghost XP出现了这样的情况?
