瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 烂马一只
baohe - 2005-10-24 21:58:00
样本来自www.anti-vir.cn。<br><br>一个剧烂的木马。没见过这么俗气的东东。<br>在%windows%下创建N个相同的木马文件;在注册表 HKU\.....\RUN分支添加启动加载项WNILOGON.EXE,并每隔几秒钟写此注册表项一次,极易被安全软件发现。<br>另:更改txt文件关联。




附件: 第四关成绩.rar (2010-3-29 16:25:04, 36.83 K)
该附件被下载次数 203

9527* - 2005-10-24 21:59:00
碰上高人当然觉得烂了。呵呵。名字起得很有诱惑力啊。但明眼人一看后缀就知道是什么东西了。
天天泡泡 - 2005-10-24 22:01:00
比较适合一些只看名字的,老大最近手上玩的东西多吗?
baohe - 2005-10-24 22:04:00
引用:
【天天泡泡的贴子】比较适合一些只看名字的,老大最近手上玩的东西多吗?
...........................

昨天,一位朋友给了一包“鸽子”,着实激动了一下。玩儿过后,失望——没新鲜的。
猎鹰渔民 - 2005-10-24 22:09:00
我路盲啊,在www.anti-vir.cn找不到,baohe给我个连接吧
天天泡泡 - 2005-10-24 22:12:00
呵呵,给几个网友发过来的样本给你看看?看看有没有什么新花样?
baohe - 2005-10-24 22:13:00
引用:
【猎鹰渔民的贴子】我路盲啊,在www.anti-vir.cn找不到,baohe给我个连接吧
...........................

http://www.anti-vir.cn/bbs/read.php?tid=2002&fpage=1
笑乐 - 2005-10-24 22:13:00
好象是烂了点
视频文件怎么可能是.exe可执行文件
连菜鸟的我都看出来了 可悲啊!!!
baohe - 2005-10-24 22:16:00
引用:
【天天泡泡的贴子】呵呵,给几个网友发过来的样本给你看看?看看有没有什么新花样?
...........................


请发到baohelin@yahoo.com.cn(打包,不加密也行。yahoo的诺顿很“厚道”。)
猎鹰渔民 - 2005-10-24 22:17:00
引用:
【baohe的贴子】
http://www.anti-vir.cn/bbs/read.php?tid=2002&fpage=1
...........................
谢了
天天泡泡 - 2005-10-24 22:25:00
引用:
【baohe的贴子】

请发到baohelin@yahoo.com.cn(打包,不加密也行。yahoo的诺顿很“厚道”。)
...........................


发送中,Yahoo的诺顿确实很厚道,连病毒体的exe文件都不报!
baohe - 2005-10-24 22:28:00
引用:
【天天泡泡的贴子】

发送中,Yahoo的诺顿确实很厚道,连病毒体的exe文件都不报!
...........................
诺顿
猎鹰渔民 - 2005-10-24 22:34:00
引用:
【天天泡泡的贴子】

发送中,Yahoo的诺顿确实很厚道,连病毒体的exe文件都不报!
...........................
同意,GMAIL这个是不是连检测也没有?
猎鹰渔民 - 2005-10-24 22:36:00
http://www.12km.com/read.php?tid=136&fpage=1刚刚在这里下了个病毒样本,不知道baohe有没有兴趣?
天天泡泡 - 2005-10-24 22:55:00
引用:
【猎鹰渔民的贴子】同意,GMAIL这个是不是连检测也没有?
...........................


Gmail是不允许发送exe文件的,即使你将其压缩也不允许发送
猎鹰渔民 - 2005-10-24 22:59:00
引用:
【天天泡泡的贴子】

Gmail是不允许发送exe文件的,即使你将其压缩也不允许发送
...........................
失望,偶不用了~~~~~
baohe - 2005-10-25 9:15:00
引用:
【猎鹰渔民的贴子】http://www.12km.com/read.php?tid=136&fpage=1刚刚在这里下了个病毒样本,不知道baohe有没有兴趣?
...........................

一只改良的“鸽子”。

1、创建文件:
在C:\WINDOWS\目录下创建:
help_Server1.2.exe(backdoor.win32.hupigon.1h)

在C:\WINDOWS\system32\目录下创建:
god.sys(backdoor.win32.graybird.cx)
ranx.dll(rootkit.win32.vanti.d,插入IE进程。)

注册表改动:

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:

help _Server

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:

VANTI

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\下添加:

VANTI
影子110 - 2005-10-25 18:44:00
关于注册表被修改,,,,
这个要怎么样才能查到呢~~~~
里面的项太多了,,而且也太乱了
前些天找到个regshot.exe,居说是比较注册表的工具,,,
可是不是太会用,,,
您要是能出个简单的使用说明帖子就好了~~~~~
呵呵,,
期待~~~~~
猎鹰渔民 - 2005-10-25 19:44:00
引用:
【baohe的贴子】
一只改良的“鸽子”。

1、创建文件:
在C:\WINDOWS\目录下创建:
help_Server1.2.exe(backdoor.win32.hupigon.1h)

在C:\WINDOWS\system32\目录下创建:
god.sys(backdoor.win32.graybird.cx)
ranx.dll(rootkit.win32.vanti.d,插入IE进程。)

注册表改动:

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:

help _Server

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:

VANTI

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\下添加:

VANTI
...........................
我还放在网盘里没有试呢~~准备星期天试~~~先参考一下~~
1
查看完整版本: 烂马一只
© 2000 - 2026 Rising Corp. Ltd.