12   2  /  2  页   跳转

[原创] 一个有趣的数据流病毒

回复:一个有趣的数据流病毒

我和别人测试中都没看到此动作。
可能我是fat32的原因。。。。
gototop
 

回复 11F 奇缘の随风 的帖子

当前用户目录下的那个taskmgr.exe是临时从系统中拷贝来的。病毒用完这个程序,即刻删除之。
还有:
C:\Documents and Settings\Administrator\wevtapi.dll
这个库文件(病毒的),你能逮住吗?
俺逮住了
如果想要,我可传上来。
gototop
 

回复 12F baohe 的帖子

wevtapi.dll 不是系统的dll吗。  我没有逮到文件, 当时我猜测  是不是病毒删除文件后再创建文件,然后用这里的文件替换系统的taskmgr.exe和wevtapi.dll。

我用MD 测毒时 病毒要修改exp的内存,我就临时允许 看看病毒控制exp后是什么动作(平时是阻止陌生程序控制系统进程的)
只看到病毒删除 用户目录下的这2个文件,然后没下文了。
我看到别人测试的日志,动作比我这里多,有你文中的动作。  还修改驱动目录的sys的文件权限
最后编辑奇缘の随风 最后编辑于 2011-08-23 11:22:12
gototop
 

回复 13F 奇缘の随风 的帖子

这个wevtapi.dll 不是系统的。传到virustotal 扫————报毒(不止一家报)。
gototop
 

回复 14F baohe 的帖子

这个病毒的主要还是在服务吧
gototop
 

回复:一个有趣的数据流病毒

taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?
另外,猫叔能把这个yangben.exe反汇编一下么

百二列岛定属中,三千城管可吞日。。

gototop
 

回复: 一个有趣的数据流病毒



引用:
原帖由 魔兽高手 于 2011-8-29 0:24:00 发表
taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?
另外,猫叔能把这个yangben.exe反汇编一下么 



附件是此病毒程序反汇编结果


我不懂编程。完全看不懂。

附件附件:

下载次数:997
文件类型:application/rar
文件大小:
上传时间:2011-8-29 8:52:24
描述:rar

gototop
 
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT