瑞星卡卡安全论坛技术交流区可疑文件交流 老猫呀,小老鼠的样本拿去...........

1   1  /  1  页   跳转

老猫呀,小老鼠的样本拿去...........

收藏
本主题由 大版主 networkedition 于 2011-2-28 13:39:15 执行 移动主题 操作
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2011-02-28 13:28 | 只看楼主 短消息 资料
字号: 1楼

老猫呀,小老鼠的样本拿去...........

哈哈

我的照片

没加密码,其他人慎点




 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
百年以后,你的墓碑旁 刻着的名字不是我
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2011-02-28 13:29 | 只看楼主 短消息 资料
字号: 2楼

回复:老猫呀,小老鼠的样本拿去...........

瑞星已可杀
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
老鼠漫步
头像
雄霸杖朝狮
  • 帖子:31618
  • 注册: 2010-08-12
  • 来自:逍遥谷【自】
万圣之夜勋章冰激凌10温馨圣诞十周年年度风云人物国庆61周年激情亚运2010国庆勋章2012我眼中的你们论坛12周年勋章分享之星闪亮的光棍与爱同行2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2011-02-28 13:37 | 短消息 资料
字号: 3楼

回复:老猫呀,小老鼠的样本拿去...........

我差点点了
别人关心你飞得有多高,我只关心你掉下来会不会砸到我。.
gototop
 
筱碗
头像
版主
  • 帖子:38518
  • 注册: 2009-11-28
  • 来自:—活死人墓—
万圣之夜勋章摄影高手端午辟邪香囊冰激凌10温馨圣诞世界杯勋章十周年吃货勋章年度风云人物国庆61周年激情亚运2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸福玫瑰钥匙分享之星闪亮的光棍二到底与爱同行2011NBA至尊茶馆劳模十一周年勋章六一欢乐天使
发表于: 2011-02-28 13:39 | 短消息 资料
字号: 4楼

回复:老猫呀,小老鼠的样本拿去...........

差点点了
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-28 14:57 | 短消息 资料
字号: 5楼

回复: 老猫呀,小老鼠的样本拿去...........



引用:
原帖由 天月来了 于 2011-2-28 13:29:00 发表
瑞星已可杀



她如果用WIN7,就中不了(此毒在WIN7下无法运行)。
烂马一只。MSE报下载器
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2011-03-03 13:36 | 短消息 资料
字号: 6楼

回复:老猫呀,小老鼠的样本拿去...........

PS:这个程序倒是没啥
不过下载的那些木马就不好办了




得到系统目录
得到系统临时目录
然后一堆正常的文件写入前操作

然后创建
ASCII "C:\WINDOWS\system32\lqcyc52.cyc"
并加载这个文件

创建
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\setupapi.dll


复制文件%Temp%\360tray.exe,但系统没找到,报错


后边两个CALL【调用】

0040252E    E8 ADFBFFFF    CALL 我的照片.004020E0   
00402533    E8 C8FAFFFF    CALL 我的照片.00402000 

第一个:
得到windows目录
并创建C:\WINDOWS\systemdebug.exe
然后执行
出木马地址


00402267    8038 00        CMP BYTE PTR DS:[EAX],0
0040226A    74 03          JE SHORT 我的照片.0040226F
0040226C    8030 12        XOR BYTE PTR DS:[EAX],12
0040226F    40              INC EAX
00402270  ^ E2 F5          LOOPD SHORT 我的照片.00402267


出来后的:http://www.nhiry.com/1.txt
保存至C:\WINDOWS\boot.ini

【在老鼠漫步那帖子里有提到】
然后可以下载木马了


第二个:
创建c:\test.bat并执行
删除我的照片.exe与test.bat自身


然后运行完毕

00402538    6A 00          PUSH 0
0040253A    FF15 68304000  CALL DWORD PTR DS:[<&KERNEL32.ExitProcess>]        ; kernel32.ExitProcess

我的照片.exe结束
本帖被评分 1 次
最后编辑夲號ヱ被ジ盜 最后编辑于 2011-03-03 13:37:20
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT