号称穿目前市面上所有还原的下载者！

显示全部楼层 · 发表于 2010-6-12 14:42:40

在一个黑客论坛看到的，我下载了生成器，由于卡饭不能发生成器，我就随便生成了一个样本。
如果样本不能运行，私下PM我给生成器。
下面是介绍：

下载者包括四个工程：
CDown：生成器
userinit：真正的下载者
Dat：驱动和下载者的安装程序
pass：驱动程序

原理：驱动程序可以穿透还原卡，并且可以修改系统文件，这里是通过修改系统文件userinit.exe来实现的。userinit.exe的功能很简单，就是启动explorer.exe。这里就是通过替换uerinit.exe，伪造一个userinit.exe。这个伪造的程序可以实现uerinit.exe的原始功能，并可以实现自定义的功能，比如下载执行，发送数据。

驱动的功能就是替换指定的系统文件。

将userinit Dat pass 编译出来的文件放到cdown的res里，再生成出生成器就可以使用它生成下载者，也就是这个穿还原的程序

要穿过的还原软件（附官方网站地址，可以到网站内下载最新版的还原软件）

冰点6.0企业版本下载地址
http://a.pzz.cn/soft/hy/df610ent.rar

快速还原 4.2
http://www.52netbar.com

网众
http://www.netzonesoft.com/

易速还原最新版
http://bbs.esfast.net/

迅闪还原最新版
http://bbs.hintsoft.net/

胜天VD还原最新版 (1:胜天VD 2:贝壳磁盘保护系)
http://www.stnts.com/

强者VD还原最新版
http://www.qznetwork.com/

网维大师还原最新版
http://www.icafe8.net/

影子系统（2008）
http://www.powershadow.com/cn/index.html

要过的硬件还原卡

1、小哨兵官网：http://www.sentry.com.cn/

最好是可以过无盘网

显示全部楼层 · 发表于 2010-6-12 14:45:53

ess kill

Win32/TrojanDownloader.Agent.NYP 特洛伊木马的变种

显示全部楼层 · 发表于 2010-6-12 14:48:18

本帖最后由 vmzy 于 2010-6-12 14:50 编辑

nod32
1.rar > RAR > 1.exe - Win32/TrojanDownloader.Agent.NYP 特洛伊木马的变种
32/41 (78.05%)
http://www.virustotal.com/zh-cn/analisis/6b840c6277bb7341ed772b634ec2793cd0c61e61e3c437ebed21a2feecb7bc59-1276325358

显示全部楼层 · 发表于 2010-6-12 14:48:33

本帖最后由 dl123100 于 2010-6-12 14:50 编辑

BSD：Virus.Win32.Part.g
http://hi.baidu.com/381013663/blog/item/465312efb92900dd2e2e2158.html

显示全部楼层 · 发表于 2010-6-12 15:02:52

过熊猫云

显示全部楼层 · 发表于 2010-6-12 15:08:25

瑞星杀了

显示全部楼层 · 发表于 2010-6-12 18:41:35

回复 1# king1636 的帖子
我不想说什么了。。。A2,AVIRA,AVAST,AVG没反应。MSE秒杀。。。

显示全部楼层 · 发表于 2010-6-12 18:47:28

2010-06-12 18:40:07 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DogKiller
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2010-06-12 18:40:08 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DogKiller
注册表名称:Start
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services*

2010-06-12 18:40:11 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\DogKiller.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*.sys

2010-06-12 18:40:11 修改系统时间    操作:阻止并结束进程
进程路径:F:\virus\1\1.exe
更改后系统时间:2010-6-12 10:40
触发规则:所有程序规则->*

显示全部楼层 · 发表于 2010-6-12 18:48:38

回复 king1636 的帖子
我不想说什么了。。。A2,AVIRA,AVAST,AVG没反应。MSE秒杀。。。
裂空我爱杰发表于 2010-6-12 18:41

红伞(free)杀了呀!

显示全部楼层 · 发表于 2010-6-12 18:50:09

回复 9# myywin 的帖子

我的机子上没反应。估计是MSE快了点吧。我这边是MSE先提示的

[病毒样本] 号称穿目前市面上所有还原的下载者！

本帖子中包含更多资源