瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:“姑苏残月”——关于Frozen Throne.exe

1   1  /  1  页   跳转

致:“姑苏残月”——关于Frozen Throne.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-20 10:44 | 显示全部 短消息 资料
字号: 1楼

致:“姑苏残月”——关于Frozen Throne.exe

Frozen Throne.exe只是个幌子。真正的病毒是War3.exe(一个感染型下载器)
这个毒比较一般。我将Tiny中的N条规则去掉后,它才能完成下载、感染。还不知道还有那些动作没有完成(不想再对Tiny规则做更多改动)。
此毒释放的文件处理并不难(见三个附图)。注意:删除病毒文件后,还要清空IE临时文件夹。
棘手的是:中招后,系统以外各个分区的被感染文件的处理(不知杀软能否清除其中的病毒)。

图1

附件附件:

下载次数:466
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-20 10:44:25
描述:
预览信息:EXIF信息



最后编辑2007-04-20 17:54:30
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-20 10:44 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:455
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-20 10:44:54
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-20 10:45 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:457
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-20 10:45:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-20 10:49 | 显示全部 短消息 资料
字号: 4楼

引用:
【孤独更可靠的贴子】哈,貌似sysload3?

感染文件的啊?
………………

感染(也可能是替换)系统分区以外的.exe
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT