瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 死神之吻 分析!终于等到了这个的变种..
wk959 - 2007-3-9 18:18:00
我还  厉害啊
阿里巴巴616 - 2007-3-9 18:18:00
引用:
【walker05的贴子】m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重.

m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重.

回复:阿里巴巴616
[此人心理境界颇高 有佛家思想 可惜那些病毒制作者们无法理解]

不要给我戴高帽,我不懂佛.主要是因为m是我的partner,卡卡论坛上已经有人声明对这个病毒负责并且不再更新(我们暂且相信),矛与盾是对手而不一定非要成敌人,既然别人已经说了不更新,并且第一个病毒因为BUG问题也很好处理,我们没必要再去挑逗作者或者变相的说别人技术水平低(事实上到底有多少人的WIN32开发功底比作者高,彼此心里都明白).如果作者的自尊心被伤,失言了,把BUG修一下就又是一场风暴,受损失的不是我和m,是网民.如果阁下觉得我的话不对,欢迎继续拍砖,但不要扯到什么佛法了,我不知道你是在说真话还是讽刺.

                                    农夫 留
………………

口才不错  思路很清晰  不过有点敏感  呵呵  我们一向以事实说话 呵呵
tankk - 2007-3-9 20:13:00
精彩!!!

努力中!!
tankk - 2007-3-9 20:13:00
精彩!!!

努力中~~
£影子虫あ - 2007-3-9 21:22:00
拿一发帖子积分走人
猪知山 - 2007-3-9 21:38:00
学习下
黑色忧伤 - 2007-3-9 21:47:00
looking~~
shewa - 2007-3-9 22:42:00
不懂,仅知道楼主是大师级人物
王菲爱你不爱我 - 2007-3-9 23:02:00
精彩!!!

努力中!!
xiaohui3064 - 2007-3-10 0:46:00
学习下
绝尘天使 - 2007-3-10 1:07:00
【回复“mopery”的帖子】
用瑞星每次都是清除成功,重启之后又出现了

路径是C:\Program Files\Internet Explorer\IEXPLORE.EXE
有没有别的办法,向各位大哥求救啦 先在这里谢谢大哥

瑞星提示:毒分类 WINDOWS下的PE病毒 病毒名称 Backdoor.Gpigeon.nve
     行为类型 WINDOWS下的木马程序
绝尘天使 - 2007-3-10 1:08:00
【回复“mopery”的帖子】
用瑞星每次都是清除成功,重启之后又出现了

路径是C:\Program Files\Internet Explorer\IEXPLORE.EXE
有没有别的办法,向各位大哥求救啦 先在这里谢谢大哥

瑞星提示:毒分类 WINDOWS下的PE病毒 病毒名称 Backdoor.Gpigeon.nve
     行为类型 WINDOWS下的木马程序
tianxunmycool - 2007-3-10 9:46:00
辛苦了!
yulf - 2007-3-10 11:00:00
厉害厉害.
我是来来 - 2007-3-10 11:35:00
!!
horseluke11 - 2007-3-10 12:07:00
引用:
【mopery的贴子】

修改系统进程内存
C:\WINDOWS\system32\winlogon.exe

这个要考虑到..

直接修改 直接蓝屏..

能有几个人能感染..

作者是为了模仿熊猫而开发这个 死神之吻

再说真的 无法与熊猫媲美..

………………



问一句,那么多病毒直接修改winlogon.exe的内存是为了干什么?是为了Hook吗?

顺便补充一句,用同样的方式直接修改不同WINDOWS的winlogon.exe的内存可能会产生不同的问题,有的成功,有的直接蓝屏......
风之影者 - 2007-3-10 13:02:00
一群疯子在这干啥呢!直接点撒!有病毒就杀,无病毒高兴撒....
shadowmiao - 2007-3-10 13:29:00
说真的,我就什么都不懂,查毒吧杀不死就用死办法重装了,唉!
mopery - 2007-3-10 13:34:00
引用:
【horseluke11的贴子】


问一句,那么多病毒直接修改winlogon.exe的内存是为了干什么?是为了Hook吗?

顺便补充一句,用同样的方式直接修改不同WINDOWS的winlogon.exe的内存可能会产生不同的问题,有的成功,有的直接蓝屏......
………………


没有人这么做的..

最多就是插入..没发现直接修改的..

zjjmj2002 - 2007-3-10 15:36:00
呵呵,把作者气坏了就不捆绑,直接覆盖了,看谁还能够恢复!
Enix - 2007-3-10 15:58:00
难道我已经中了改进后的?删了N多文件重启也没用哦,帮我看下啊

C:\WINDOWS下的有:c0nima.exe,c0nime.exe,cftmoa.exe,cftmon.exe,crasoa.exe,crasos.exe,iexp1ora.exe,iexp1ore.exe,iexpl0ra.exe,iexpl0re.exe,rundl13a.exe,rundl132.exe,Servera.exe,Servere.exe,servicea.exe,servicer.exe,winlog0a.exe,winlog0n.exe    这些文件创建时间都是 2004年8月4日, 8:52:32 ,其它的看着吃不准的也没敢删

C:\WINDOWS\system32下的有:Gjzos.dll,LgSyl.dll,LgSyzr.dll,
Msxos.dll,Rav26.dll,Rav32.dll,Wmzos.dll 暂时知道这么多


C:\Documents and Settings\Square\Local Settings\Temp下的有:softf.exe,softk.exe(这个最后一个字母好像是随机的),『npptools.dll,Packet.dll,uwne7i5w.dll,WanPacket.dll』这几个不知道是不是病毒,反正每次删后都会再有

spoolsv.exe这个文件这次暂时还没出现

没找到什么Death或gggg.exe之类,注册表启动项被修改了一堆,和"baohe"版主发的那个帖子差不多,只不过还要多

晕,卡卡发附件一直错误,请问有没有邮箱?
zjjmj2002 - 2007-3-10 16:47:00
俺还是很疑惑,这些编病毒的把自己机机的IP地址暴露出来,难道就不怕警察叔叔的说?
samda - 2007-3-10 17:42:00
学习  学习 
jmbt - 2007-3-10 18:39:00
学习
快乐小弓 - 2007-3-10 20:11:00
强!
飞逝v流星 - 2007-3-10 21:20:00
每一个病毒作者都是挺厉害的
钓雨耕烟 - 2007-3-10 23:28:00
郁闷.....
两个铁球 - 2007-3-11 3:08:00
引用:
【Enix的贴子】难道我已经中了改进后的?删了N多文件重启也没用哦,帮我看下啊

C:\WINDOWS下的有:c0nima.exe,c0nime.exe,cftmoa.exe,cftmon.exe,crasoa.exe,crasos.exe,iexp1ora.exe,iexp1ore.exe,iexpl0ra.exe,iexpl0re.exe,rundl13a.exe,rundl132.exe,Servera.exe,Servere.exe,servicea.exe,servicer.exe,winlog0a.exe,winlog0n.exe    这些文件创建时间都是 2004年8月4日, 8:52:32 ,其它的看着吃不准的也没敢删

C:\WINDOWS\system32下的有:Gjzos.dll,LgSyl.dll,LgSyzr.dll,
Msxos.dll,Rav26.dll,Rav32.dll,Wmzos.dll 暂时知道这么多


C:\Documents and Settings\Square\Local Settings\Temp下的有:softf.exe,softk.exe(这个最后一个字母好像是随机的),『npptools.dll,Packet.dll,uwne7i5w.dll,WanPacket.dll』这几个不知道是不是病毒,反正每次删后都会再有

spoolsv.exe这个文件这次暂时还没出现

没找到什么Death或gggg.exe之类,注册表启动项被修改了一堆,和"baohe"版主发的那个帖子差不多,只不过还要多

晕,卡卡发附件一直错误,请问有没有邮箱?
………………

没一个个细看,瞄一眼就见全是病毒文件。
ELCON电子之星 - 2007-3-11 9:38:00
经过多年的探索,终于被我发现了全宇宙最正的网络游戏了,就是 http://pet.mop.com/?u=29549515
不用安装任何东西,就直接在网页上玩,上班无聊的最佳选择,我在天空之城(电信)叫senway800,来找我吧!目活活~
我是列斧 - 2007-3-11 10:16:00
X:\autorun.inf

就这一个也是挺烦人的,对于新接触电脑者来说就不知从何解决问题,而且autorun.inf文件是以隐藏方式出现在盘符里的!而且利用了系统的自动播放功能进行对移动优盘再次传染接种做好垫足石。还有一点,你的鼠标左键双点是打不开盘符的,所以新手要懂得把它删了才行~~~要不每次都要右键才能打开盘符。删除方法:在安全模式下显示所有隐藏文件,再把autorun.inf删除就可以了.
1234
查看完整版本: 死神之吻 分析!终于等到了这个的变种..