瑞星卡卡安全论坛综合娱乐区活动专区实习生专区实习生交流区 不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

1   1  /  1  页   跳转

[问题/讨论] 不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

收藏
hglbird
头像
拙长孩提狮
  • 帖子:158
  • 注册: 2010-01-11
  • 来自:
发表于: 2010-02-08 03:48 | 只看楼主 短消息 资料
字号: 1楼

不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

刚在在瑞星知道http://zhidao.ikaka.com/Aspx/Html/StaticHtml/316/316359.html贴里遇到的一个问题 。
里面有一个压缩文件,用瑞星直接对压缩包扫描没有一点问题。
当我进行安装测试时,第一次安装失败了,提示如下:


 附件: 您所在的用户组无法下载或查看附件

第二次进行安装,提示有木马,如下图


 附件: 您所在的用户组无法下载或查看附件


我觉得这个病毒伪装的有点高级,想对病毒文件分析一下,可自己也不懂。就在此和大家分享一下,希望懂病毒分析的前来分析并分享经验。

下面附件是病毒文件的压缩包。里面是木马。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 
是昔流芳
头像
卡卡反病毒小组
  • 帖子:646
  • 注册: 2009-05-10
  • 来自:青鸾峰
发表于: 2010-02-08 07:28 | 短消息 资料
字号: 2楼

回复: 不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

1.bat
00000: Reg Add  "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
00001: Reg Add  "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
00002: Set "TMPINF=C:\TmpInf.inf"
00003: echo [Version] >%TMPINF%
00004: echo Signature="$Windows NT$" >>%TMPINF%
00005: echo [DefaultInstall] >>%TMPINF%
00006: RUNDLL32
00007: SETUPAPI.DLL,InstallHinfSection
00008: DefaultInstall 128 %TMPINF%
00009: del %TMPINF%

不错,还帮忙装了个彪悍的浏览器

附件附件:

您所在的用户组无法下载或查看附件

My Blog
gototop
 
剥离
头像
初生襁褓狮
  • 帖子:87
  • 注册: 2010-01-24
  • 来自:
发表于: 2010-02-08 08:47 | 短消息 资料
字号: 3楼

回复:不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

建议你通过路径找到文件,将其彻底删除
gototop
 
hglbird
头像
拙长孩提狮
  • 帖子:158
  • 注册: 2010-01-11
  • 来自:
发表于: 2010-02-08 12:22 | 只看楼主 短消息 资料
字号: 4楼

回复 2F 是昔流芳 的帖子

你写的我看得不太懂,前两句代码好像是添加注册表项,后面的就不知道什么意思了。
gototop
 
hqvip
头像
自信弱冠狮
  • 帖子:389
  • 注册: 2009-09-17
  • 来自:仙源
论坛9周年纪念
发表于: 2010-02-08 12:57 | 短消息 资料
字号: 5楼

回复:不错的病毒文件,会病毒分析的请前来讨论如何分析病毒?

创建文件 C:\Program Files\Internet Explorer\1.bat
推广的母网站是liulanqi.cc
恶意推广程序
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT