12   2  /  2  页   跳转

[原创] 一个有趣的数据流病毒

收藏
本主题由 大版主 baohe 于 2011-8-30 9:40:07 执行 主题置顶/取消 操作
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-08-23 09:48 | 短消息 资料
字号: 11楼

回复:一个有趣的数据流病毒

我和别人测试中都没看到此动作。
可能我是fat32的原因。。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-23 10:02 | 只看楼主 短消息 资料
字号: 12楼

回复 11F 奇缘の随风 的帖子

当前用户目录下的那个taskmgr.exe是临时从系统中拷贝来的。病毒用完这个程序,即刻删除之。
还有:
C:\Documents and Settings\Administrator\wevtapi.dll
这个库文件(病毒的),你能逮住吗?
俺逮住了
如果想要,我可传上来。
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-08-23 11:21 | 短消息 资料
字号: 13楼

回复 12F baohe 的帖子

wevtapi.dll 不是系统的dll吗。  我没有逮到文件, 当时我猜测  是不是病毒删除文件后再创建文件,然后用这里的文件替换系统的taskmgr.exe和wevtapi.dll。

我用MD 测毒时 病毒要修改exp的内存,我就临时允许 看看病毒控制exp后是什么动作(平时是阻止陌生程序控制系统进程的)
只看到病毒删除 用户目录下的这2个文件,然后没下文了。
我看到别人测试的日志,动作比我这里多,有你文中的动作。  还修改驱动目录的sys的文件权限
最后编辑奇缘の随风 最后编辑于 2011-08-23 11:22:12
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-23 11:29 | 只看楼主 短消息 资料
字号: 14楼

回复 13F 奇缘の随风 的帖子

这个wevtapi.dll 不是系统的。传到virustotal 扫————报毒(不止一家报)。
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-08-23 12:13 | 短消息 资料
字号: 15楼

回复 14F baohe 的帖子

这个病毒的主要还是在服务吧
gototop
 
魔兽高手
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2008-02-04
  • 来自:黑盟
世界杯勋章
发表于: 2011-08-29 00:24 | 短消息 资料
字号: 16楼

回复:一个有趣的数据流病毒

taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?
另外,猫叔能把这个yangben.exe反汇编一下么

百二列岛定属中,三千城管可吞日。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-29 08:52 | 只看楼主 短消息 资料
字号: 17楼

回复: 一个有趣的数据流病毒



引用:
原帖由 魔兽高手 于 2011-8-29 0:24:00 发表
taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?
另外,猫叔能把这个yangben.exe反汇编一下么 



附件是此病毒程序反汇编结果


我不懂编程。完全看不懂。

附件附件:

下载次数:921
文件类型:application/rar
文件大小:
上传时间:2011-8-29 8:52:24
描述:rar
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT