回复: 对Antivirus 2010病毒的分析
http://av2010.net/我在主页上下载了另一个程序这个才是他的真面目
运行后
发现试图修改hosts
并在hosts上加上了以下内容
然后创建了C:\Windows\System32\wingamma.exe这个文件
接着开始改注册表了
进程路径:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows Gamma Display
然后狐狸马脚出来了
2008-10-19 14:58:52 应用程序保护(结束/挂起进程)
进程路径:C:\Program Files\Rising\Rav\RavMonD.exe
目标进程:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
呵呵开始结束瑞星了
不过很有趣。瑞星没被干掉。就连自我保护的气泡也没有
再后来出现了一系列金山的东西,不知是不是病毒创建这个就跳过好了
后来他试图起动先前的文件
接着又开始改系统了
