实机单奔微点勿试。----过微点。（已取消附件权限，不怕死的玩吧）

wcj20236

感染性。

[ 本帖最后由 wcj20236 于 2009-4-13 17:18 编辑 ]

醉一生爱妍

运行之后释放RunOnce.exe


在文件尾部插入感染代码

感染前后增加文件大小约为6KB

感染代码：

1. 
   
2. 0004E741   004CF141      0   ChineseHacker-2
   
3. 0004E80B   004CF20B      0   Net Send * My god! Some one killed ChineseHacker-2 Monitor
   
4. 0004E91A   004CF31A      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
5. 0004E95B   004CF35B      0   Runonce
   
6. 0004EA3F   004CF43F      0   VLPTj
   
7. 0004EAF9   004CF4F9      0   GetSystemTime
   
8. 0004EB0C   004CF50C      0   GetComputerNameA
   
9. 0004EB22   004CF522      0   WideCharToMultiByte
   
10. 0004EB3B   004CF53B      0   TerminateThread
    
11. 0004EB50   004CF550      0   CreateThread
    
12. 0004EB62   004CF562      0   _lcreat
    
13. 0004EB6F   004CF56F      0   GetSystemDirectoryA
    
14. 0004EB88   004CF588      0   VirtualAllocEx
    
15. 0004EB9C   004CF59C      0   WaitForSingleObject
    
16. 0004EBB5   004CF5B5      0   CloseHandle
    
17. 0004EBC6   004CF5C6      0   CreateKernelThread
    
18. 0004EBDE   004CF5DE      0   CreateRemoteThread
    
19. 0004EBF6   004CF5F6      0   WriteProcessMemory
    
20. 0004EC0E   004CF60E      0   OpenProcess
    
21. 0004EC1F   004CF61F      0   GetCurrentProcessId
    
22. 0004EC38   004CF638      0   RegisterServiceProcess
    
23. 0004EC54   004CF654      0   Sleep
    
24. 0004EC5F   004CF65F      0   _lclose
    
25. 0004EC6C   004CF66C      0   _llseek
    
26. 0004EC79   004CF679      0   _lwrite
    
27. 0004EC86   004CF686      0   _lread
    
28. 0004EC92   004CF692      0   _lopen
    
29. 0004EC9E   004CF69E      0   SetFileTime
    
30. 0004ECAF   004CF6AF      0   SetFileAttributesA
    
31. 0004ECC7   004CF6C7      0   FindClose
    
32. 0004ECD6   004CF6D6      0   FindNextFileA
    
33. 0004ECE9   004CF6E9      0   FindFirstFileA
    
34. 0004ECFD   004CF6FD      0   SetCurrentDirectoryA
    
35. 0004ED17   004CF717      0   GetDriveTypeA
    
36. 0004ED2A   004CF72A      0   WinExec
    
37. 0004ED37   004CF737      0   GetCommandLineA
    
38. 0004ED4C   004CF74C      0   GetLastError
    
39. 0004ED5E   004CF75E      0   CreateMutexA
    
40. 0004ED70   004CF770      0   LoadLibraryA
    
41. 0004ED8D   004CF78D      0   wsprintfA
    
42. 0004ED9C   004CF79C      0   SendMessageA
    
43. 0004EDAE   004CF7AE      0   GetWindow
    
44. 0004EDBD   004CF7BD      0   MessageBoxA
    
45. 0004EDCE   004CF7CE      0   FindWindowA
    
46. 0004EDDF   004CF7DF      0   GetWindowThreadProcessId
    
47. 0004EE08   004CF808      0   RegNotifyChangeKeyValue
    
48. 0004EE25   004CF825      0   RegQueryValueExA
    
49. 0004EE3B   004CF83B      0   RegSetValueExA
    
50. 0004EE4F   004CF84F      0   RegOpenKeyA
    
51. 0004EE6B   004CF86B      0   WNetCloseEnum
    
52. 0004EE7E   004CF87E      0   WNetEnumResourceA
    
53. 0004EE95   004CF895      0   WNetOpenEnumA
    
54. 0004EEBD   004CF8BD      0   closesocket
    
55. 0004EECE   004CF8CE      0   socket
    
56. 0004EEDA   004CF8DA      0   connect
    
57. 0004EEE7   004CF8E7      0   gethostbyname
    
58. 0004EEFA   004CF8FA      0   htons
    
59. 0004EF0F   004CF90F      0   WSACleanup
    
60. 0004EF1F   004CF91F      0   WSAStartup
    
61. 0004EFED   004CF9ED      0   \runouce.exe
    
62. 0004F0DC   004CFADC      0       =winntv=windto
    
63. 0004F25F   004CFC5F      0   =.wabt!=.adct%=r.dbt
    
64. 0004F274   004CFC74      0   =.doct
    
65. 0004F27B   004CFC7B      0   =.xlst
    
66. 0004F2E6   004CFCE6      0   =.exetS=.scrtL=.htmt
    
67. 0004F2FB   004CFCFB      0   =htmlt
    
68. 0004F3AA   004CFDAA      0   readme.eml
    
69. 0004F3E6   004CFDE6      0   <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html>
    
70. 0004F45C   004CFE5C      0   XjxPW
    
71. 0004F4D6   004CFED6      0   V4Xf=
    
72. 0004F520   004CFF20      0   GPY+K
    
73. 0004F68A   004D008A      0   w6QjDWS
    
74. 0004F7CD   004D01CD      0   btamail.net.cn
    
75. 0004F911   004D0311      0   HELO btamail.net.cn
    
76. 0004F926   004D0326      0   MAIL FROM: imissyou@btamail.net.cn
    
77. 0004F94A   004D034A      0   RCPT TO: %s
    
78. 0004F95D   004D035D      0   FROM: %s@yahoo.com
    
79. 0004F971   004D0371      0   TO: %s
    
80. 0004F979   004D0379      0   SUBJECT: %s is comming!
    
81. 0004F992   004D0392      0   MIME-Version: 1.0
    
82. 0004F9A5   004D03A5      0   Content-type: multipart/mixed; boundary="#BOUNDARY#"
    
83. 0004F9DD   004D03DD      0   --#BOUNDARY#
    
84. 0004F9EB   004D03EB      0   Content-Type: text/html
    
85. 0004FA04   004D0404      0   Content-Transfer-Encoding: quoted-printable
    
86. 0004FA33   004D0433      0   <html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
    
87. 0004FAA8   004D04A8      0   --#BOUNDARY#
    
88. 0004FAB6   004D04B6      0   MIME-Version: 1.0
    
89. 0004FAC9   004D04C9      0   Content-Type: audio/x-wav; name="pp.exe"
    
90. 0004FAF3   004D04F3      0   Content-Transfer-Encoding: base64
    
91. 0004FB16   004D0516      0   Content-id: THE-CID
    
92. 0004FB67   004D0567      0   ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
    
93. 0004FCB6   004D06B6      0   This program must be run under Win32
    
94. 0004FD3E   004D073E      0   SCODE
    
95. 0004FD6B   004D076B      0   .idata
    
96. 0004FD83   004D0783      0   .reloc
    
97. 0004FDC5   004D07C5      0   KERNEL32.dll
    
98. 0004FDD3   004D07D3      0   Sleep
    
99. 0004FEEC   004D08EC      0   Runonce
    
100. 0004FF02   004D0902      0   vXTWj
     

复制代码

[ 本帖最后由 WillBeNextKido 于 2009-4-12 10:10 编辑 ]

saga3721

红伞go帮忙
'HTML/Rce.Gen' [virus]

醉一生爱妍

发现还是内存注入。。

昨晚跟徐超大牛请教。。略为懂了一些

CreateRemoteThread

lmsa613

江民：Win32/cnPeace.b
该病毒利用微软Outlook系统软件的漏洞，可执行文件在邮件附件中。当在没有补丁的Outlook直接浏览该含有病毒的信件，此病毒即自动被激活，同时把病毒体复制到windows的系统目录中，同时修改系统注册表,使得系统启动时自动运行。
此病毒可以自动保护病毒进程不被清除。可以自动搜索windows地址薄中的所有用户，然后给每一个用户都发送一份含有病毒的信件。该病毒有极强的局域网传染功能。病毒通过搜索网上邻居中的可写文件夹。然后在每个可写文件夹中都生成一个以用户名命名的eml文件，并且该eml文件是有自启动漏洞的eml文件。

hddu

EQ阻止。
2009-04-12 10:28:56    创建文件      操作:阻止并结束进程
进程路径:E:\中国黑客\感WINRAR.EXE
文件路径:C:\WINDOWS\system32\runouce.exe
触发规则:所有程序规则->WINDOWS_2->%windir%\system*\*.exe
2009-04-12 10:28:56    创建注册表值      操作:阻止
进程路径:E:\中国黑客\感WINRAR.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Runonce
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

Beloved

感染代码，怎么看到的？

schumi小粉

McAfee 已阻止您计算机上可能有害的程序(PUP)。如果无法识别此程序，建议将其删除。

关于此 可能有害的程序
名称: Exploit-MIME.gen.c
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\中国黑客\readme.eml

McAfee 已自动修复感染病毒的文件。

关于此 病毒
已检测到: W32/Nimda.htm (病毒)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\中国黑客\MDACReadme.htm

McAfee 已自动修复感染病毒的文件。
关于此 病毒
已检测到: W32/Nimda.htm (病毒)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\中国黑客\MDACReadme.htm

McAfee 已自动修复感染病毒的文件。
关于此 病毒
已检测到: W32/Nimda.htm (病毒)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\中国黑客\MDACReadme.htm

[ 本帖最后由 schumi小粉 于 2009-4-12 10:37 编辑 ]

shyguoming

大蜘蛛5.0安全空间，发现病毒不然下载。

专业路过

这么厉害呀，爬啊爬