我为大家带来的是最新病毒..(小心不要运行)-(过全部杀毒软件)(加精)

蓝色牛仔裤

BD对这种破坏性大的病毒还真是没话说, 前天的兔子新变种,几乎和卡巴反应速度一样快, 几个小时后更新就报了..

1p1

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\BLACK-DAY.EXE
病毒程序生成以下文件:
1) C:\WINNT\SYSTEM32\INTERVIEW.EXE
2) C:\BLACK-DAY.EXE
3) C:\WINNT\SYSTEM32\CONFIG\USERDIFF.EXE
4) C:\WINNT\SYSTEM32\CONFIG\SYSTEM.LOG.EXE
5) C:\WINNT\SYSTEM32\CONFIG\USERDIFF.LOG.EXE
6) C:\WINNT\SYSTEM32\CONFIG\TEMPKEY.LOG.EXE
7) C:\WINNT\SYSTEM32\CONFIG\

ALEXBLAIR

既然是交流贴
那也就慢慢分析一下吧。
首先，这个东西会注册一个服务，名字叫Sysintevet
注释的名字是：Interenet 网络服务事件（不过明显是故意写错了internet防止重复的名称出现。）
然后，在c盘下面把所有的文件都命名为*.exe文件，例如原来是a.txt的，那就改为a.txt.exe
不过，这个可不是改名哦，而是把原来的文件隐藏或删除了（没有仔细跟踪过。），然后用crc32为ed311440的一个文件代替。从crc32的对比上看，不是病毒源文件，而是一个恢复性质的文件。
好戏才刚刚开始，当你从新启动计算机的时候，你就会发现无法引导电脑了，为什么呢？
启动的boot.ini/nd等文件都被替换掉了，但是没有引导的功能，所以就出现了文件丢失的提示。
这样也就制造了一次启动失败的现象。
用系统盘恢复后，依然会出现这样的现象。

解决对策：在pe光盘引导下，del所有的c盘根目录的exe文件，也就是那个小孩子头标的文件
然后从新修复引导文件。
这时候不要重新启动
在注册表里(rd2003光盘可以修改原系统的注册表。)删除Sysintevet这个服务，和相关的文件：C:\WINDOWS\system32\interview.exe

现在就看了这么多
自学考试要紧
草草分析一下下了

龙井茶

难道这就是BD去年排老大的原因?

1p1

131546C4=black-da.131546C4 (ASCII "Hi,Friend:
Your computer were infect my worm!
And if you want to clear this worm
Please add my QQ Num:5188340,87408749,76665639
The worm Name:Black-Day

Powered by :wswhacker")

龙井茶

ALEXBLAIR 版来自远古,果然是恐龙级的人物啊.

ALEXBLAIR

比恐龙要长得好看哦！

The EQs

发PP。。。。。。。。。。。

ALEXBLAIR

已经发出了！
在穿越时光隧道了
大概3亿5千万年后就到了。
很快的哦！
用的是时光隧道快递公司的服务哦！

龙井茶

原帖由 ALEXBLAIR 于 2007-4-16 23:51 发表
比恐龙要长得好看哦！

恐龙级的技术