12   2  /  2  页   跳转

[原创] 有本usp10.dll的本体?

收藏
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-30 15:20 | 显示全部 短消息 资料
字号: 11楼

回复: 有本usp10.dll的本体?

根据15 楼的图 很明显 在TEMP下已经有数字名的病毒了 但猫叔说这是病毒联网下载的 这是瑞星防火墙没发现 还是此毒是直接释放病毒 并不下载?
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-30 17:56 | 显示全部 短消息 资料
字号: 12楼

回复: 有本usp10.dll的本体?



引用:
原帖由 newcenturymoon 于 2009-1-30 16:43:00 发表
该病毒 就是先释放一个 jiocs.dll然后rundll32.exe加载这个dll
随后病毒本体退出 很多行为都是在那个dll中做的


根据我的判断 是TEMP里的数字文件病毒在调用RUNDLL32  你说加载这个DLL 那它符合加载远程动态库吗?
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-30 18:55 | 显示全部 短消息 资料
字号: 13楼

回复: 有本usp10.dll的本体?



引用:
原帖由 newcenturymoon 于 2009-1-30 18:30:00 发表
TEMP里的数字文件是驱动 跟这个无关
rundll32.exe直接加载的那个dll文件 这个不是加载远程动态库 加载远程动态库是调用CreateRemoteThread函数


那个是驱动吗??  怎么看出来的? 没.sys的扩展名啊?  指教一下吧
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT