穿影子 绕微点

爱·妖姬

怎么个穿法?

挪威的冬天

信息        2008-04-06  11:12:34        您此次查毒共查出1个病毒以及危险代码                       
信息        2008-04-06  11:12:34        您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件5个                       
信息        2008-04-06  11:12:34        金山毒霸主程序查毒过程结束，查毒方式：命令行查毒                       
病毒        2008-04-06  11:12:34        D:\Desktop\ok.rar\ok.exe        Win32.Troj.AutoRunsT.m.991232        跳过，未处理

qcqyt

是很强大.
病毒在根目录生成msdos.bat加密的.删除explorer.exe生成一个加病毒的explorer.exe.添加驱动程序[zzz / zzz][Others/Disabled]
  <\??\c:\zzz.sys><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\qcqyt\LOCALS~1\Temp\tmp4.tmp><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\qcqyt\LOCALS~1\Temp\tmp8.tmp><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\qcqyt\LOCALS~1\Temp\tmpA.tmp><N/A>
[NPF / NPF][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\E.tmp><N/A>
下载木马.感染C:\Program Files\下的和除了系统盘以外的盘的exe.mtm.html.xml文件

主病毒为.C:\WINDOWS\Tasks\0x01xx8p.exe和C:\WINDOWS\explorer.exe

qcqyt

2008-04-06 12:51:27    创建文件      操作:允许
进程路径:E:\WinRAR3.61简体中文版\WinRAR.exe
文件路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
触发规则:应用程序规则->all->*.*



2008-04-06 12:51:33    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\Tasks\0x01xx8p.exe
触发规则:应用程序规则->all->*.*



2008-04-06 12:51:33    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\Tasks\explorer.ext
触发规则:应用程序规则->all->*.*



2008-04-06 12:51:34    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\Tasks\SysFile.brk
触发规则:应用程序规则->all->*.*


2008-04-06 12:51:34    删除文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\explorer.exe
触发规则:应用程序规则->all->*.*



2008-04-06 12:51:34    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\explorer.exe
触发规则:应用程序规则->all->*.*

2008-04-06 12:51:39    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\system32\config.txt
触发规则:应用程序规则->all->*.*


2008-04-06 12:51:40    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\zzz.sys
触发规则:应用程序规则->all->*.*

2008-04-06 12:51:40    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zzz
注册表名称:ErrorControl
触发规则:所有程序规则->all regedit->*

2008-04-06 12:51:40    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:c:\zzz.sys
触发规则:应用程序规则->All Application->*.*

2008-04-06 12:51:41    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:c:\zzz.sys
触发规则:应用程序规则->All Application->*.*

2008-04-06 12:51:41    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\WINDOWS\system32\windows.txt
触发规则:应用程序规则->all->*.*

2008-04-06 12:52:28    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\a1.ext
文件路径:C:\Documents and Settings\qcqyt\Local Settings\Temp\tmp2tmp
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:28    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\qcqyt\Local Settings\Temp\tmp2.tmp
触发规则:应用程序规则->All Application->*.*

2008-04-06 12:52:28    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\a1.ext
文件路径:C:\WINDOWS\system32\msosmhfp00.dll
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:28    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\a1.ext
文件路径:C:\WINDOWS\win.ini
触发规则:应用程序规则->all->*.*

2008-04-06 12:52:28    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\a1.ext
文件路径:C:\WINDOWS\system32\msosmhfp.dat
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:28    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\a1.ext
文件路径:C:\WINDOWS\system32\drivers\msosfpids32.sys
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:29    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\彩珠.htm
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:29    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\技术型.htm
触发规则:应用程序规则->all->*.*

2008-04-06 12:52:29    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\MSDOS.bat
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:29    删除文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\autorun.inf
触发规则:应用程序规则->all->*.*

2008-04-06 12:52:29    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:E:\MSDOS.bat
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:29    删除文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:E:\autorun.inf
触发规则:应用程序规则->all->*.*

2008-04-06 12:52:35    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\Program Files\Internet Explorer\iedw.exe
触发规则:应用程序规则->all->*.*


2008-04-06 12:52:35    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->all->*.*

2008-04-06 12:59:42    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:E:\软件\ha_OpenedFilesView-v1.05\soft2cn．com汉化说明.exe
触发规则:应用程序规则->all->*.*


2008-04-06 12:59:42    修改文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\ok\ok.exe
文件路径:E:\软件\IceSword122cn\IceSword.exe
触发规则:应用程序规则->all->*.*

IllusionWing

卡巴一个不认识....
UG都认识..但那个Virut...

UGuard Log (Digital Fox - gankeyu@126.com)
UGuarduu.exe = 5.1.0
HC0.rlb = 4.5.4
HC2.rlb = 2.5.0
FN0.rlb = 2.4.0
扫描选项：扫描档案, 扩展, nFile, BAT模拟, 捆绑检测, 变形壳, 启发,
[扫描] [SmartSearch] 在 C:\Documents and Settings\Administrator\桌面\Virus\YB\explorer.exe 检测到 Unknown.SystemFileHack
[扫描] [SmartSearch] 在 C:\Documents and Settings\Administrator\桌面\Virus\YB\ok.exe 检测到 Heur.IATEncrypted
检测到了 2 个未知的恶意程序，请上报。
任务 扫描 完成。威胁率：100%，扫描速率： 33.33 文件/秒，扫描速度： 16410.87 千字节/秒，共扫描了 984.65 千字节。

nomyself

好像已经有人昨天就发了。 ，在dfwall下可以看到其p处理的原文。

wonne153

衍生物怎么看着这么眼熟呢？

liangxy

看标题很牛，结果怎么都可以发现呢？？

SONGBOWEN

晕，谁说的穿影子？穿的是什么影子？
反正SD没穿，刚在虚拟机测试过了……

aribeth199

检测到：病毒 Worm.Win32.AutoRun.dgk        文件: F:\Download\ok.rar/ok.exe//PE_Patch//UPack