哪位坛友有修改系统时间的样本？

显示全部楼层 · 发表于 2007-2-3 21:44:30

感谢啊。。。就是它了。。。。

显示全部楼层 · 发表于 2007-2-3 21:51:11

原帖由 yzt1004 于 2007-2-3 20:34 发表
据说有的厉害的删除所有权限用户后一时没有修改成功，重启后就改成1980年之类的了。一些HIPS也不能拦截。具体的我不清楚。问navigateqd

问我有什么用,我不玩毒的哦,乖宝宝

显示全部楼层 · 发表于 2007-2-3 21:51:43

显示全部楼层 · 发表于 2007-2-3 21:52:26

此病毒在各个盘符下面生成AUTORUN和wzkSP两个文件。卡巴和卖咖啡无法查出，病毒直接导致系统文件改变成1980年时间，导致主流杀软过期假象。手动杀毒困难较大。

配置文件内容:
4002hxxp://www.sinavip.net/k1.rar
31"hxxp://www.lcsm.cn/nami.htm"
31"hxxp://www.jing88.com/1ndex.asp"
31"hxxp://www.ishici.com"

显示全部楼层 · 发表于 2007-2-3 21:53:00

原帖由 小邪邪 于 2007-2-3 20:49 发表
不知道这个贴子里的是不是？

http://www.kpfans.com/bbs/viewth ... &extra=page%3D4

是说在什么地方看到过病毒的样本
就是搜索不到,样本区也找不到原来藏在咖啡区了

显示全部楼层 · 发表于 2007-2-3 21:54:10

脱壳后的

系统时间变成1980年
生成：
D:\Autorun.inf 、D:\oaftW.exe 、C:\WINDOWS\saslogww.txt
调动IE连网
h××p://www.sinavip.net/A.asp?Id=2770462167 10
改注册表
注册表键： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  注册表值： Userinit
  新的值:
类型: REG_SZ
值： C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\wzkSP.exe
  先前值:
类型: REG_SZ
值： C:\WINDOWS\system32\userinit.exe,
连网：192.168.16.255
生成：C:\WINDOWS\Listsas.txt

显示全部楼层 · 发表于 2007-2-3 21:55:18

衍生物

显示全部楼层 · 发表于 2007-2-3 21:56:11

还有很多隐藏的东西

之前mopery分析
http://forum.ikaka.com/topic.asp?board=28&artid=8255156

最新baohe分析可看
http://forum.ikaka.com/topic.asp?board=28&artid=8256347

显示全部楼层 · 发表于 2007-2-3 21:56:31

探测到: 病毒 Worm.Win32.Agent.t
网址: http://www.kpfans.com/bbs/attach ... ecBundle//PECompact

显示全部楼层 · 发表于 2007-2-3 21:57:38

现在卡巴也能识别了

哪位坛友有修改系统时间的样本？

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源