收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 来个强悍的病毒,测试吧。。。。
1234下一页
返回列表 发新帖
楼主: wcj20236
 收起左侧

[病毒样本] 来个强悍的病毒,测试吧。。。。

[复制链接]
zwl2828
发表于 2008-12-6 16:40:39 | 显示全部楼层
创建键值:
CU\Software\Microsoft\Windows\CurrentVersion\Run\jvsoft|REG_SZ|62|"C:\WINDOWS\system32\j3ewro.exe"

创建文件:
C:\WINDOWS\system32\j3ewro.exe
C:\WINDOWS\system32\jwedsfdo0.dll

修改文件:
C:\WINDOWS\system32\wbem\Logs\wmiprov.log

删除文件:
C:\TEST\sample.exe

创建线程:
0x100|explorer.exe|0x63c|0x7c810856|MEM_IMAGE|0xd50000|MEM_PRIVATE

载入模块:
0x100|explorer.exe|0x10000000|0x3b000|0x80084004|C:\WINDOWS\system32\jwedsfdo0.dl
0x100|explorer.exe|0x76bf0000|0xb000|0x800c4004|C:\WINDOWS\system32\PSAPI.DLL

调用API:
0x5fc|C:\TEST\sample.exe|0x4016e0|CopyFileA(lpExistingFileName: "C:\TEST\sample.exe", lpNewFileName: "C:\WINDOWS\system32\j3ewro.exe", bFailIfExists: 0x0)|0x1

0x5fc|C:\TEST\sample.exe|0x401a27|CreateRemoteThread(hProcess: 0x70, lpThreadAttributes: 0x0, dwStackSize: 0x0, lpStartAddress: 0xd50000, lpParameter: 0x0, dwCreationFlags: 0x0, lpThreadId: 0x12ffac)|0x78

结论:
复制自身自其它目录;创建自启动;在系统目录创建文件;注射其他线程;删除自身

可疑

[ 本帖最后由 zwl2828 于 2008-12-6 16:42 编辑 ]
回复

举报

wcj20236
头像被屏蔽
 楼主| 发表于 2008-12-6 16:42:35 | 显示全部楼层
原帖由 zwl2828 于 2008-12-6 16:40 发表
创建键值:
CU\Software\Microsoft\Windows\CurrentVersion\Run\jvsoft|REG_SZ|62|"C:\WINDOWS\system32\j3ewro.exe"

创建文件:
C:\WINDOWS\system32\j3ewro.exe
C:\WINDOWS\system32\jwedsfdo0.dll

修改文 ...

楼上分析的我看不懂,请问可以致使电脑蓝屏吗,高手请解答。谢谢。
回复

举报

zwl2828
发表于 2008-12-6 16:43:58 | 显示全部楼层
原帖由 wcj20236 于 2008-12-6 16:42 发表

楼上分析的我看不懂,请问可以致使电脑蓝屏吗,高手请解答。谢谢。

在Windows XP SP3环境下,没有蓝屏,也许是你的电脑上有相互冲突的软件。
回复

举报

xxl
发表于 2008-12-6 16:56:21 | 显示全部楼层
过不了卡巴斯基KIS
2009
Access denied
The requested URL could not be retrieved

While trying to retrieve the URL:

http://bbs.kafan.cn/attachment.php?aid=
413798&k=03ae918297ad497391573975a3d9944
f&t=1228553702

The following error was encountered:

The requested object is INFECTED with the following viruses: Trojan-GameThief.Win32.OnLineGames.arym


Please contact your service provider if you consider it incorrect.
Generated:
Sat Dec 06 16:55:30 2008
їЁ°НЛ№»щ»ҐБЄНш°ІИ«МЧЧ° 2009
回复

举报

frb11
头像被屏蔽
发表于 2008-12-6 17:32:58 | 显示全部楼层
卖咖啡报木马
回复

举报

luxiao200888
发表于 2008-12-6 17:34:55 | 显示全部楼层
C:\Documents and Settings\Owner\桌面\xwpehlv.zip » ZIP » xwpehlv.com - Win32/PSW.OnLineGames.NMY trojan - was a part of the deleted object
回复

举报

evilrabbit
发表于 2008-12-6 17:56:28 | 显示全部楼层
原帖由 luxiao200888 于 2008-12-6 17:34 发表
C:\Documents and Settings\Owner\桌面\xwpehlv.zip » ZIP » xwpehlv.com - Win32/PSW.OnLineGames.NMY trojan - was a part of the deleted object
又是网游盗号的 木马 强悍
回复

举报

leonfg
发表于 2008-12-6 18:27:04 | 显示全部楼层
C:\Documents and Settings\GUNDAM\桌面\xwpehlv.zip » ZIP » xwpehlv.com - Win32/PSW.OnLineGames.NMY trojan
回复

举报

Sherry.ai
发表于 2008-12-6 20:06:14 | 显示全部楼层
Avast~ KL
Rising miss
回复

举报

BING126
头像被屏蔽
发表于 2008-12-6 20:31:50 | 显示全部楼层
McAfee        Downloader-BLT
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 13:41 , Processed in 0.105481 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表