Swizzor疯了！！07-23一天532个（新增FS2YOU下载地址！）

显示全部楼层 · 发表于 2008-7-24 19:24:40

F-prot 查了14分钟，一个都没扫出来

显示全部楼层 · 发表于 2008-7-24 19:37:58

该文件同时下载的人数过多，请稍候再试。
(通过QQ邮箱超大附件发到您的QQ邮箱的情况下，您可以优先下载，不会受到同时下载人数过多的影响。)

显示全部楼层 · 发表于 2008-7-24 19:38:35

本人实际运行了一下：
所有int修改为exe。
运行后行为都是一样，如下：

2008-07-24 19:16:21 应用程序保护(运行应用程序)    操作:允许
进程路径: sn_pkz(1).exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe

2008-07-24 19:16:23 应用程序保护(修改其它进程内存)    操作:允许
进程路径: sn_pkz(1).exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe

2008-07-24 19:16:27 应用程序保护(创建远程线程)    操作:允许
进程路径: sn_pkz(1).exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe

----------------------------------
文件增加:1
----------------------------------
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0D2JC1EB\7k19_up[1].int

----------------------------------
增加键:2
----------------------------------
HKEY_USERS\S-1-5-21-1085031214-179605362-839522115-500\Software\The Coal Clock
HKEY_USERS\S-1-5-21-1085031214-179605362-839522115-500\Software\The Coal Clock\Ping default

----------------------------------
增加值:1
----------------------------------
HKEY_USERS\S-1-5-21-1085031214-179605362-839522115-500\Software\The Coal Clock\great second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

显示全部楼层 · 发表于 2008-7-24 20:04:40

微点特征码查杀0个

好可怕、。。。。

显示全部楼层 · 发表于 2008-7-24 20:06:05

原帖由 Solala 于 2008-7-24 20:04 发表
微点特征码查杀0个

好可怕、。。。。

你运行下啊,等微点的结果

[ 本帖最后由 zdlzp 于 2008-7-24 20:07 编辑 ]

显示全部楼层 · 发表于 2008-7-24 20:09:14

没有什么实质性的威胁，只是展示了一种隐藏运行IE的方式，估计后台下载威胁就会立刻被查出。

显示全部楼层 · 发表于 2008-7-24 20:31:22

谁的微点运行下发个结果上来啊

500多个啊

显示全部楼层 · 发表于 2008-7-24 21:15:09

要用微点一个一个点啊
会颠

显示全部楼层 · 发表于 2008-7-24 21:17:40

用TF基本上全部KILL~

显示全部楼层 · 发表于 2008-7-24 21:27:59

卡巴斯基440扫描 83个~~909090病毒库14：00的那个

95%启发出来晕啊~~

谁有毅力TO KL吧~~

[病毒样本] Swizzor疯了！！07-23一天532个（新增FS2YOU下载地址！）

评分