看看这个毒，BD报了……其余不知道

Saturn87930

呵呵，没什么好奇怪的。我也是个菜鸟

小邪邪

怪不得我一看这样本怎么怪怪的呢

详细的我就不多说了

mofunzone

病毒会创建一个叫做IXP000.TMP的文件夹在temp目录下拷贝自身进入
然后开始调用cmd进行感染，从windows文件夹开始
而且好像会删除dll文件，感染其他类型文件，类似exe和sys
还会修改该rundll32

1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   
2. wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%Temp%\IXP000.TMP""

复制代码

好像还用了shutdown -s的命令，或者结束了系统进程，因为删除了东西，造成类似冲击波的非法关机
但是被我shutdown -a干掉了
暂时就看出这么多，你继续更新吧
还会修改系统时间，忘了写了。。

[ 本帖最后由 mofunzone 于 2007-5-15 21:25 编辑 ]

Saturn87930

恩，到时候我会跟你说说的，别这么早报上去，我的东西还不成熟~！报上去别人笑话我们，那就糗大了~！
我现在先去上课了~！各位慢慢整了……

[ 本帖最后由 Saturn87930 于 2007-5-16 13:25 编辑 ]

scottxzt

你的东东一次比一次厉害，开机进不了系统就完蛋了．不敢试．

mofunzone

A listing of files alongside their results can be found below:
File ID          Filename          Size (Byte)         Result
545586          破壳蜗牛.exe          24 KB          MALWARE


Please find a detailed report concerning each individual sample below:
Filename         Result
破壳蜗牛.exe          MALWARE

The file '破壳蜗牛.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.24576.91. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 6.38.01.148.

Saturn87930

昏，就加入病毒库了？我昏啊……你速度也太快了吧~！吐血……

[ 本帖最后由 Saturn87930 于 2007-5-16 16:57 编辑 ]

harry_chang2003

ＰＣＣ　ＭＩＳＳ

miller239

建议楼主想些办法绕过HIPS，否则，调用cmd进行感染对HIPS只是小菜一碟。。
参考一下猪3，黑炸弹啊～哈～

Saturn87930

呵呵，恩，好的，我对猪3没研究哦，谁有样本哦……