高手请进；autorun.inf解密（非毒网）

显示全部楼层 · 发表于 2009-1-21 01:19:31

根本不知道该如何下手

显示全部楼层 · 发表于 2009-1-21 10:42:02

有点像PE文件但又不是..

显示全部楼层 · 发表于 2009-1-21 10:45:50

[AUTORUN]
AcTION=Openfoldertoviewfiles ;貌似这句没用..
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4
shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
useAuTopLAY=1 ;ms也没啥用..

显示全部楼层 · 发表于 2009-1-22 00:16:56

服了你

怎么解出来的

显示全部楼层 · 发表于 2009-1-22 10:54:36

见文件
1217行
[AUTorUN
1220行
AcTION =Open folder to view files
1229行
icon =%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
1238行
shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
1247行
useAuTopLAY= 1

显示全部楼层 · 发表于 2009-1-22 10:56:36

山寨的

显示全部楼层 · 发表于 2009-1-22 11:27:32

ESS 直接杀了,看不了

显示全部楼层 · 发表于 2009-1-22 11:54:18

這招是新手法嗎
請問根目錄下是否有其他生成物檔案

樓主可否提供 c:\ 下的 com exe bat cmd 可疑的檔案
那些可能就是 autorun.inf 的病毒體

[ 本帖最后由 upside 于 2009-1-22 14:04 编辑 ]

显示全部楼层 · 发表于 2009-1-22 18:10:22

除了oh my god，不知道该说什么...

感谢指点

[ 本帖最后由 solcroft 于 2009-1-22 18:11 编辑 ]

显示全部楼层 · 发表于 2009-1-22 18:35:29

原帖由 upside 于 2009-1-22 11:54 发表

這招是新手法嗎
請問根目錄下是否有其他生成物檔案

樓主可否提供 c:\ 下的 com exe bat cmd 可疑的檔案
那些可能就是 autorun.inf 的病毒體

是conficker样本，现在应该已经通杀了，样本没什么价值
是因为样本是dll才会想解autorun.inf，看看该怎样执行...

[已鉴定] 高手请进；autorun.inf解密（非毒网）

回复 3楼 qianwenxiang 的帖子

回复 4楼 solcroft 的帖子

回复 2楼 aarwwefdds 的帖子

回复 5楼 qianwenxiang 的帖子