在这个安全软件飞速发展的年代，病毒已经退居二线

zybo

的确现在的中奖几率小了很多。

7772456

这个360以前就是清理恶意插件起家的，现在是木马时代，360是国内的领头兵，看看他的木马主防就知道。

liwnpin

木马盗号猖狂啊。。。

老机子

http://bbs.duba.net/thread-22586461-1-1.html看看此贴，就知道神马是对抗型病毒！
http://bbs.duba.net/thread-22599016-1-1.html
病毒分析：

1.获取病毒的当前权限，然后将该病毒权限修改为"SeDebugPrivilege"权限。
2.获取该Windows目录下路径，在该目录下创建"C:\WINDOWS\fonts\mgt09004.ttf"文件，并将网络地址“http://vjnhg.j****.com:55/f**/se11.aspx”写入该文件末尾。
3. 获得临时文件夹路径，在该目录下创建"%temp%\0098E982mdd.temp"文件，并将该"%temp%\0098E982mdd.temp"文件以移动的方式并重新命名为"C:\WINDOWS\system32\mgt09004.ocx"文件，紧接着删除"%temp%\0098E982mdd.temp"文件。
4. 获得临时文件夹路径，在该目录下创建"%temp%\00A84053eime.temp"文件，并将该"%temp%\00A84053eime.temp"文件以移动的方式并重新命名为"C:\WINDOWS\system32\mgt99008.ocx"文件，紧接着删除"%temp%\00A84053eime.temp"文件
5．获取系统目录路径，在该目录下将"C:\WINDOWS\system32\rundll32.exe"文件以拷贝的方式并重新命名为"C:\WINDOWS\system32\jahjah09.exe"文件。
6.通过进程快照函数，遍历查找"Explorer.EXE"进程，如果找到以后进行提权操作，遍历查找"C:\data\elements.data"文件，找到以后关闭查找文件句柄，打开该" Explorer.EXE"目标进程"，并通过一套远程注入函数注入到Explorer.EXE进程。目的是隐藏的加载"C:\WINDOWS\system32\mgt99008.ocx"文件，并注入到Explorer.EXE进程里，只要系统Explorer.EXE进程不终止运行，该dll文件就不会从内存中卸载掉。
7.如果找不到"Explorer.EXE"进程，就遍历文件查找"C:\WINDOWS\system32\mgt09004.ocx"文件，找到以后关闭文件句柄。
8.建立进程"C:\WINDOWS\system32\jahjah09.exe  C:\WINDOWS\system32\mgt09004.ocx  pfjaoidjglkajd  C:\sample.exe"并以隐藏的方式启动起来。
9. 遍历文件查找" C:\WINDOWS\system32\mgt99008.ocx"文件，找到以后关闭文件句柄。紧接着建立建立进程" "C:\WINDOWS\system32\jahjah09.exe  C:\WINDOWS\system32\mgt99008.ocx  pfjieaoidjglkajd"并以隐藏的方式启动起来，然后退出主程序。
10. “mgt09004.ocx”文件被"C:\WINDOWS\system32\jahjah09.exe"以"pfjieaoidjglkajd  C:\sample.exe "参数加载起来：建立互斥变量，以及查找"360safe.exe"，"360tray.exe"，"config.exe",进程，然后终止相应进程。获取Windows路径，找到"C:\WINDOWS\fonts\mgt09004.ttf"文件，将一些字符写进该文件中。目的是将盗窃的信息发送到这个URL地址。并建立线程：主要是遍历进程快照，查找进程名称为"game.exe"，"launch.exe"以及"TLBBDownload.bin"，查找到以后结束这些进程。查找窗口信息为"NONE"，以及继续遍历进程快照，查找进程名称为"game.exe"查找到以后结束该进程。遍历文件查找“C:\sample.exe”，并紧接着删除“C:\sample.exe”文件。
11. “mgt99008.ocx”文件被"C:\WINDOWS\system32\jahjah09.exe"以"pfjieaoidjglkajd"参数加载起来：主要是遍历文件，查找     "C:\WINDOWS\system32\mgt99*.ocx"文件，找到以后，继续查找"C:\WINDOWS\system32\ mgt99008.ocx "文件，找到以后关闭文件句柄。并设置添加一个“US”输入法，输入法的状态为默认状态。也可以到达开机自动的目的。通过注册表的读写操作，进行输入法的劫持。注册表的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0210804
       名称：Ime File
       数据：MGT99008.OCX
       名称：Layout File
       数据：kbdus.dll
       目的是：劫持输入法，将MGT99008.OCX文件与输入法相关联起来。以达到下一次机器启动的时候病毒自启动的目的。

xuszdta

裸奔时代

老机子

XP下中毒，假死，断网除了没出现网站什么的感觉和鬼影很像，下载金山鬼影专杀，杀毒，出现很多木马显示就死机，重启查杀无病毒，无木马，继续假死（有时候鼠标可以动，蓝屏，重启硬盘扫描，断网），重新用光盘快速分4区，然后进格式化工具，重建MBR重新分区格式化，装MBR，装WIN7，用光盘自带装在C盘的金山杀毒，扫描出4,5个木马或病毒死死机，蓝屏。重启后扫描到几个恶意IE修改，无木马，无病毒了，装金山急救医生，运行死机，重启再用急救医生只发现个残留和MP3病毒，我都快被搞疯了，4天装了N次系统，只要运行杀毒软件就死机，或是自动重启，是不是病毒在显存里面了？？？在WIN7下，金山杀毒时显卡程序会重启一下，然后过1,2分钟死机。。。谁来救我，告诉我这个是什么病毒啊·！

又死机N次，老卡在6d，重装第一次杀毒必定死机，死机必定要修复杀毒软件，修复后查到1.2个无关紧要的木马病毒！
装系统，用毒霸，死机，修复毒霸，继续感觉有毒，重装系统，用金山卫士，死机，重启后查补到什么，重转系统，用顽固木马查杀工具，死机，重启后杀毒找到1.2个杀了重启，问题继续在！360同样这个情况，感觉像鬼影又不是，用了金山专杀没用，照到2个病毒，杀了问题继续，有时候杀了就蓝屏。。。。。

arsh

主要转变了攻击目的

大海里的鱼

现在是木马横行啊

十三少

话说，自用电脑以来
中的病毒木马远没有中流氓软件的几率高。。。

xp-AntiSpy

现在是裸奔时代