123   3  /  3  页   跳转

[原创] 有本usp10.dll的本体?

收藏
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-30 17:56 | 只看楼主 短消息 资料
字号: 21楼

回复: 有本usp10.dll的本体?



引用:
原帖由 newcenturymoon 于 2009-1-30 16:43:00 发表
该病毒 就是先释放一个 jiocs.dll然后rundll32.exe加载这个dll
随后病毒本体退出 很多行为都是在那个dll中做的


根据我的判断 是TEMP里的数字文件病毒在调用RUNDLL32  你说加载这个DLL 那它符合加载远程动态库吗?
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-01-30 18:30 | 短消息 资料
字号: 22楼

回复:有本usp10.dll的本体?

TEMP里的数字文件是驱动 跟这个无关
rundll32.exe直接加载的那个dll文件 这个不是加载远程动态库 加载远程动态库是调用CreateRemoteThread函数
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-30 18:55 | 只看楼主 短消息 资料
字号: 23楼

回复: 有本usp10.dll的本体?



引用:
原帖由 newcenturymoon 于 2009-1-30 18:30:00 发表
TEMP里的数字文件是驱动 跟这个无关
rundll32.exe直接加载的那个dll文件 这个不是加载远程动态库 加载远程动态库是调用CreateRemoteThread函数


那个是驱动吗??  怎么看出来的? 没.sys的扩展名啊?  指教一下吧
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-01-30 19:39 | 短消息 资料
字号: 24楼

回复: 有本usp10.dll的本体?



引用:
原帖由 SpeW 于 2009-1-30 18:55:00 发表


引用:
原帖由 newcenturymoon 于 2009-1-30 18:30:00 发表
TEMP里的数字文件是驱动 跟这个无关
rundll32.exe直接加载的那个dll文件 这个不是加载远程动态库 加载远程动态库是调用CreateRemoteThread函数


那个是驱动吗??  怎么看出来的? 没.sys的扩展名啊?  指教一下吧:def

文件类型不是靠 扩展名看的~  1.txt同样可以是可执行文件
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT