1   1  /  1  页   跳转

可疑文件

收藏
珠峰安全
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2006-06-09
  • 来自:
发表于: 2010-01-30 18:11 | 只看楼主 短消息 资料
字号: 1楼

可疑文件

到瑞星那去上传也老是遇忙。这东西用了后干掉了瑞星软件。
真是的。

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 570; .NET CLR 1.1.4322)

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2010-01-30 21:03 | 短消息 资料
字号: 2楼

回复: 可疑文件

采用VMProtect加壳
感谢Smallyou93

创建
%Temp%\tcom.dll
%Temp%\tbot.dll
%Temp%\thk.dll
%Temp%\now.tmspage
%Temp%\360Update.dat
%Systemroot%\system32\ws2help.dll
%Systemroot%\system32\sikinstead.dll
%Systemroot%\system32\spacecom.dll
%Temp%\nyz.txt
重命名%Systemroot%\system32\ws2help.dll
删除%Systemroot%\System32\dllcache\ws2help.dll
替换了ws2help.dll这个系统文件


查询Cryptographic Services服务是否开启
开启的话停止
一会儿又开启,试图控制Cryptographic Services服务
更改以下注册表键值:
HKCU\Softwave\Microsoft\windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\\Directory
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\\Paths
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path1\\CachePath
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path2\\CachePath
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path3\\CachePath
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\\path4\\CachePath
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path1\\CacheLimit
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path2\\CacheLimit
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path3\\CacheLimit
HKLM\Softwave\Microsoft\windows\Internet Settings\Cache\Paths\path4\\CacheLimit
HKCU\Softwave\Microsoft\windows\CurrentVersion\Explorer\Shell Folders\\Cookies
HKCU\Softwave\Microsoft\windows\CurrentVersion\Explorer\Shell Folders\\History
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c241f360-4814-11de-8dc4-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c241f361-4814-11de-8dc4-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c241f362-4814-11de-8dc4-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c241f363-4814-11de-8dc4-c30afef21e57}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKLM\System\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet


删除注册表值
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL
本帖被评分 2 次
最后编辑夲號ヱ被ジ盜 最后编辑于 2010-02-10 09:43:08
gototop
 
luoyewugen
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-08-25
  • 来自:
发表于: 2010-02-02 15:04 | 短消息 资料
字号: 3楼

回复:可疑文件

怎么我看不到附件啊 郁闷啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-02-02 15:39 | 短消息 资料
字号: 4楼

回复: 可疑文件



引用:
原帖由 珠峰安全 于 2010-1-30 18:11:00 发表
到瑞星那去上传也老是遇忙。这东西用了后干掉了瑞星软件。
真是的。

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 570; .NET CLR 1.1.4322)





此毒并未废掉RIS2010。


详见:http://bbs.ikaka.com/showtopic-8694105.aspx
gototop
 
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2010-02-09 19:24 | 短消息 资料
字号: 5楼

回复:可疑文件

是VMProtect
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT