查看: 5912|回复: 17
收起左侧

!!!新病毒!!!!!!!

[复制链接]
wao1201
发表于 2006-12-23 21:32:44 | 显示全部楼层 |阅读模式
大家尽情测试!!!

我常去的一个坛子里的XD的卡巴6和nod32都没反映 (至少现在)

[ 本帖最后由 wao1201 于 2006-12-23 21:39 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wao1201
 楼主| 发表于 2006-12-23 21:34:01 | 显示全部楼层
我的小红伞轻松杀掉

来个在线检查的结果

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wao1201
 楼主| 发表于 2006-12-23 21:57:42 | 显示全部楼层

大家都无视此毒
Oceanzd
发表于 2006-12-23 22:02:53 | 显示全部楼层
呵呵,看看上报情况了
ALEXBLAIR
发表于 2006-12-23 22:04:09 | 显示全部楼层
刚才上报了
看消息
顺便做测试
小邪邪
发表于 2006-12-23 22:06:52 | 显示全部楼层
看一下下文件的属性,好象还真是蛮厉害的样子
在鼠标刚一放上去它就试图通过修改系统文件实现随机自启动

这个mcafee目前还是查不出来的
(但访问功能可以完全抑制住让它半点动弹不得)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ALEXBLAIR
发表于 2006-12-23 22:16:07 | 显示全部楼层
我的好象情况不同
你的好象pe头被修改了
我下载的头部是这样的
[code]MZP     
小邪邪
发表于 2006-12-23 22:21:35 | 显示全部楼层
反正我只是右键看了一下该文件属性
然后就发现该文件试图修改windows文件夹下的system.ini配置文件

然后我看来看去觉得没什么好看的就把它给删掉了

[ 本帖最后由 小邪邪 于 2006-12-23 22:28 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ALEXBLAIR
发表于 2006-12-23 22:49:39 | 显示全部楼层
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\windowservices\ImagePath
CreateFile        G:\WINDOWS\MSAGENT\SVCHOST.EXE
木马行为
通过反编译
发现有下载者的行为

外加服务
名字为:windowservices

[ 本帖最后由 ALEXBLAIR 于 2006-12-23 22:52 编辑 ]
ALEXBLAIR
发表于 2006-12-23 22:56:11 | 显示全部楼层
导出的部分细节(供大家参考)
Start         Length     Name                   Class
0001:00401000 00099000H  CODE                   CODE


  Address         Publics by Value

0001:0007B1C0       <-TFrmAD@FormCreate
0001:0007B1CA       ->Controls.TControl.SetTop(TControl;Integer);
0001:0007B1D3       ->Controls.TControl.SetLeft(TControl;Integer);
0001:0007B1DF       ->Controls.TControl.SetWidth(TControl;Integer);
0001:0007B1EB       ->Controls.TControl.SetHeight(TControl;Integer);
0001:0007B1FC       *Timer1:TTimer
0001:0007B202       ->ExtCtrls.TTimer.SetInterval(TTimer;Cardinal);<+>
0001:0007B209       *Timer1:TTimer
0001:0007B20F       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007B218       <-TFrmAD@Timer1Timer
0001:0007B25A       ->System.@HandleAnyException;
0001:0007B25F       ->System.@DoneExcept;
0001:0007B270       *WebBrowser1:TWebBrowser
0001:0007B27B       ->:TWebBrowser._PROC_00463C1C()
0001:0007B2B2       ->System.@HandleAnyException;
0001:0007B2B7       ->System.@DoneExcept;
0001:0007B2CF       *Timer1:TTimer
0001:0007B2D7       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007B2DF       ->System.TObject.Free(TObject);
0001:0007B308       <-TFrmAD@WebBrowser1NewWindow2
0001:0007BCF0       <-TFrmmain@FormCreate
0001:0007BD10       *WebBrowser1:TWebBrowser
0001:0007BD1B       ->:TWebBrowser._PROC_00463C1C()
0001:0007BD33       ->:TFrmmain._PROC_0047C74C()
0001:0007BD42       ->System.@HandleAnyException;
0001:0007BD47       ->System.@DoneExcept;
0001:0007BD4C       ->System.Randomize;
0001:0007BD77       ->System.@LStrAsg(void;void;void;void);
0001:0007BD97       ->System.@LStrAsg(void;void;void;void);
0001:0007BDAD       ->Forms.TApplication.SetTitle(TApplication;AnsiString);
0001:0007BDC4       ->user32.SetWindowLongA()
0001:0007BDC9       ->System.Randomize;
0001:0007BDE3       *Panel1:TPanel
0001:0007BDEE       ->Controls.TControl.SetHeight(TControl;Integer);
0001:0007BDF6       *Panel1:TPanel
0001:0007BE01       ->Controls.TControl.SetWidth(TControl;Integer);
0001:0007BE0E       ->Controls.TControl.SetTop(TControl;Integer);
0001:0007BE1A       ->Forms.TScreen.GetWidth(TScreen):Integer;
0001:0007BE34       ->Controls.TControl.SetLeft(TControl;Integer);
0001:0007BE3E       ->Forms.TCustomForm.SetAlphaBlend(TCustomForm;Boolean);
0001:0007BE48       ->Forms.TCustomForm.SetAlphaBlendValue(TCustomForm;Byte);
0001:0007BE5D       ->System.@LStrCat3;
0001:0007BE6C       *Timer2:TTimer
0001:0007BE74       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007BE8E       ->System.@LStrArrayClr(void;void;Integer);
0001:0007BE94       ->System.@HandleFinally;
0001:0007BF78       <-TFrmmain@Timer2Timer
0001:0007BF97       *Timer2:TTimer
0001:0007BF9D       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007BFCE       *Timer1:TTimer
0001:0007BFD4       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007BFDD       *Timer2:TTimer
0001:0007BFE3       ->ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);<+>
0001:0007BFEC       <-TFrmmain@Timer1Timer
0001:0007C02F       ->System.@WStrFromLStr(WideString;WideString;String);
0001:0007C03A       *WebBrowser1:TWebBrowser
0001:0007C040       ->:TWebBrowser._PROC_00463C1C()
0001:0007C04F       ->System.@HandleAnyException;
0001:0007C054       ->System.@DoneExcept;
0001:0007C073       *WebBrowser1:TWebBrowser
0001:0007C07E       ->:TWebBrowser._PROC_00463C1C()
0001:0007C08D       ->System.@HandleAnyException;
0001:0007C092       ->System.@DoneExcept;
0001:0007C0B7       ->System.@WStrFromLStr(WideString;WideString;String);
0001:0007C0C2       *WebBrowser1:TWebBrowser
0001:0007C0C8       ->:TWebBrowser._PROC_00463C1C()
0001:0007C0D7       ->System.@HandleAnyException;
0001:0007C0DC       ->System.@DoneExcept;
0001:0007C117       ->:TFrmmain._PROC_0047D524()
0001:0007C126       ->System.@HandleAnyException;
0001:0007C12B       ->System.@DoneExcept;
0001:0007C162       ->System.@HandleAnyException;
0001:0007C167       ->System.@DoneExcept;
0001:0007C178       *WebBrowser1:TWebBrowser
0001:0007C183       ->:TWebBrowser._PROC_00463C1C()
0001:0007C1BA       ->System.@WStrArrayClr(void;void;Integer);
0001:0007C1C0       ->System.@HandleFinally;
0001:0007C6B4       <-TFrmmain@WebBrowser1NewWindow2
0001:0007C6D4       ->Classes.TDataModule.Create(TDataModule;boolean;TComponent);<+>
0001:0007C6DD       ->Forms.TCustomForm.Show(TCustomForm);
0001:0007C6EA       *Timer2:TTimer
0001:0007C6F0       ->OleCtrls.TOleControl.SetWordBoolProp(TOleControl;Integer;WordBool);<+>
0001:0007C6FD       *Timer2:TTimer
0001:0007C703       ->OleCtrls.TOleControl.GetIDispatchProp(TOleControl;Integer):IDispatch;<+>
0001:0007C70D       ->System.@IntfCopy(IInterface;IInterface;IInterface);
0001:0007C722       ->System.@IntfClear(IInterface;IInterface):Pointer;
0001:0007C728       ->System.@HandleFinally;
0001:0007C738       <-TFrmmain@WebBrowser1DownloadComplete
0001:0007C920       <-Twindowservices@ServiceStart
0001:0007C926       ->ole32.CoInitialize()
0001:0007C947       ->Forms.TCustomForm.Show(TCustomForm);
0001:0007C950       <-Twindowservices@ServiceContinue
0001:0007C957       ->kernel32.Sleep()
0001:0007C964       ->SvcMgr.TServiceThread.ProcessRequests(TServiceThread;Boolean);
0001:0007C96B       ->SvcMgr.TService.GetTerminated(TService):Boolean;
0001:0007C978       <-Twindowservices@ServiceExecute
0001:0007C97F       ->kernel32.Sleep()
0001:0007C98C       ->SvcMgr.TServiceThread.ProcessRequests(TServiceThread;Boolean);
0001:0007C993       ->SvcMgr.TService.GetTerminated(TService):Boolean;
0001:0007C9A0       <-Twindowservices@ServicePause
0001:0007C9A4       <-Twindowservices@ServiceShutdown
0001:0007C9AC       ->System.TObject.Free(TObject);
0001:0007C9B5       ->SvcMgr.TService.SetStatus(TService;TCurrentStatus);
0001:0007C9BC       ->SvcMgr.TService.ReportStatus(TService);
0001:0007C9C4       <-Twindowservices@ServiceStop
0001:0007C9CC       ->System.TObject.Free(TObject);

Program entry point at 0001:0047E0D4

[ 本帖最后由 ALEXBLAIR 于 2006-12-23 23:02 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +3 收起 理由
navigateqd + 2 版区有你更精彩: )
小邪邪 + 1 呵呵,辛苦了,虽然看着眼花

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 20:43 , Processed in 0.122327 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表