12   1  /  2  页   跳转

大家研究下这个下载器

收藏
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-01-07 17:24 | 只看楼主 短消息 资料
字号: 1楼

大家研究下这个下载器

http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8585714#9295194
附件在2楼
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)
分享到:
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-07 23:34 | 短消息 资料
字号: 2楼

回复: 大家研究下这个下载器


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
那些文件都不能用了。。。

其他没什么特别

只要阻挡它连接网络就行
最后编辑晕4 最后编辑于 2009-01-07 23:38:19
gototop
 
tksk
头像
禁止访问
  • 帖子:46
  • 注册: 2008-11-28
  • 来自:
发表于: 2009-01-08 00:16 | 短消息 资料
字号: 3楼

回复:大家研究下这个下载器

该用户帖子内容已被屏蔽
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-08 11:35 | 短消息 资料
字号: 4楼

回复:大家研究下这个下载器

boots.exe是个感染/替换型下载器(感染%program flies%目录下的所有.exe文件);在%allusers%\\「开始」菜单\程序\启动\目录下释放病毒文件;在C盘根目录下释放N个病毒文件;替换系统文件userinit.exe。此替换可穿透影子。
如果删除了所有病毒文件,但未换回正常系统文件userinit.exe,下次开机,用户无法登录系统。

以上是此毒的概要。
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-08 11:44 | 短消息 资料
字号: 5楼

回复 4F baohe 的帖子

我这里没看见userinit.exe被替换了
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-08 11:47 | 短消息 资料
字号: 6楼

回复:大家研究下这个下载器


难道与ca预设规则有关?

而且还会在%program flies%创建一个StromII的一个文件夹

内面有病毒文件(  忘记了名字了。。。)
gototop
 
最硬的石头
头像
版主
  • 帖子:4140
  • 注册: 2008-07-24
  • 来自:
论坛8周年活动礼物冰激凌09欢乐圣诞
发表于: 2009-01-08 12:16 | 短消息 资料
字号: 7楼

回复:大家研究下这个下载器

就是强制安装一起来音乐助手,也没什么。。。
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-08 12:20 | 短消息 资料
字号: 8楼

回复 7F 最硬的石头 的帖子



你试了?

没发现某些exe文件被感染
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-08 15:05 | 短消息 资料
字号: 9楼

回复: 大家研究下这个下载器



引用:
原帖由 晕4 于 2009-1-8 12:20:00 发表


你试了?

没发现某些exe文件被感染


porgram files目录下的文件能否被此毒感染,完全取决于个人防护工具的设置。
如果用Tiny之类的工具,设置相应规则,看守住porgram files目录及其子目录(禁止写、删、建文件),则不会发生porgram files目录下的文件被病毒感染。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-08 15:08 | 短消息 资料
字号: 10楼

回复: 大家研究下这个下载器



引用:
原帖由 晕4 于 2009-1-8 11:44:00 发表
我这里没看见userinit.exe被替换了


用IceSword彻底干掉杀软及其它安全工具的所有进程,再运行这个boots.exe。userinit.exe肯定被替换。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT