我为大家带来的是最新病毒..(小心不要运行)-(过全部杀毒软件)(加精)

ALEXBLAIR

过奖了，呵呵

龙井茶

我看了下,那个一级技术勋章也不是随便给人的.

Anycall-D908

是过了很多杀软..不过别说过了全部嘛~~起码没过我的微点(已经一个多月没升级了,还能查杀...)
     程序:
C:\DOCUMENTS AND SETTINGS\OUYANG\LOCAL SETTINGS\TEMP\RAR$EX00.814\BLACK-DAY.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\INTERVIEW.EXE
2) G:\BLACK-DAY.EXE
3) F:\BLACK-DAY.EXE
是否删除木马程序及其衍生物?

ALEXBLAIR

主要是考虑到这个可能是成为一个交流贴
所以就研究了一下。
考虑到可能出现无法修复的问题出现
所以给出了解决方案
其实作者还是很给面子的
如果加上unhook和drivers就可以变成一个标准的攻击病毒了。
我觉得这个只能是恶作剧的定位。
不过在vista上，对于驱动的签名阻止策略的确很有用。！至少现在还是很有用中。

ALEXBLAIR

微点没有注意到引导文件都被修改了么？？？？

Anycall-D908

哦~~谢谢提醒!恍然大悟哈

zyson11

* Display message box (By : wswhacker) : Hi,Friend:Your computer were infect my!And if you want to clear thisPlease add my QQ Num:5188340,87408749,76665639The Name:Black-DayPowered by :wswhacker.
* File length: 257536 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\interview.exe.
* Creates file N:\autorun.inf.
* Creates file N:\BLACK-DAY.EXE.

[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\Sysintevet".
* Sets value "ImagePath"="C:\WINDOWS\SYSTEM32\interview.exe" in key "HKLM\System\CurrentControlSet\Services\Sysintevet".
* Sets value "DisplayName"="System Inter Event" in key "HKLM\System\CurrentControlSet\Services\Sysintevet".

[ Spreading through LAN/WAN ]
* spreading over a network connection.

[ Process/window information ]
* Creates an event called .
* Enumerates running processes.
* Creates service "Sysintevet (System Inter Event)" as "C:\WINDOWS\SYSTEM32\interview.exe".

ALEXBLAIR

这个分析工具是什么啊？？？

solcroft

原帖由 ALEXBLAIR 于 2007-4-17 01:52 发表
这个分析工具是什么啊？？？

诺曼的沙盘功能，Jotti和VT上都可以见到

ALEXBLAIR

谢谢解答，这个沙盒是在线测试的还是单机程序的？？？？