瑞星卡卡安全论坛
baohe - 2007-4-14 10:57:00
这个Rabbit.exe文件大小为188K,与其前辈比较,此新变种又精练了些。
除了兔子外,还带了只鸽子进来。
释放的文件(图1)
注册表改动(图2)
如果XP系统用户事先设置了干净的还原点,中了这只兔子后,执行“系统还原”可以搞掂这只带鸽子的兔宝宝(图3、图4是系统还原前后的对比)。
注:
执行系统还原前,要用些手段,使IceSword运行起来,灭掉兔子在%windows%和%system%文件夹中创建的病毒文件。IceSword已经被替换了?下载个干净的呀!放到%system%目录下。
图1
附件:
1558472007414104756.jpg
baohe - 2007-4-14 10:58:00
baohe - 2007-4-14 10:58:00
baohe - 2007-4-14 10:58:00
紫墨蓝尘 - 2007-4-14 10:59:00
斑竹可以把样本给我吗``
孤独更可靠 - 2007-4-14 10:59:00
哎..应该支持2K了的吧..
麻烦猫叔来份.
Lyhan_1988@163.com
炫Oo逍遥oO - 2007-4-14 11:10:00
````
炫Oo逍遥oO - 2007-4-14 11:12:00
请教下 图2那些是用什么监控到的?
我是来来 - 2007-4-14 11:18:00
.....
政府 - 2007-4-14 11:23:00
兔宝宝呵呵,听可爱的名字,目前还没有中,谢谢。
newcenturymoon - 2007-4-14 11:39:00
麻烦发给我蛤 newcenturymoon@126.com
newcenturymoon - 2007-4-14 11:45:00
好像开始删gho文件了
taylor05771 - 2007-4-14 11:47:00
样本
zhz010266@njude.com.cn
adik - 2007-4-14 12:23:00
样本 adik99@163.com
hanjunbin - 2007-4-14 13:05:00
猫叔 对付兔子现在有什么比较好的清理方法嘛?
万一中招了都不知道怎么办了。。。。郁闷啊
gtkx - 2007-4-14 13:43:00
造毒的不是已经不造了吗?下载链接也被他删了
天月来了 - 2007-4-14 13:44:00
开始整合了。
如果是为了利益,还能让中了的开机。
以后不知会不会干脆翘了系统。
大家都快用SSM类的工具做前期保护吧。
gtkx - 2007-4-14 13:48:00
随便问问猫叔,系统还原文件夹不会被兔宝宝感染吗?
三月学毒 - 2007-4-14 13:49:00
还没有亲眼看到过
gtkx - 2007-4-14 13:50:00
| 引用: |
【天月来了的贴子】开始整合了。
如果是为了利益,还能让中了的开机。
以后不知会不会干脆翘了系统。
大家都快用SSM类的工具做前期保护吧。
……………… |
天月,你教教我SSM咋用好吗?附件:
8388022007414134105.gif
gtkx - 2007-4-14 13:52:00
| 引用: |
【newcenturymoon的贴子】好像开始删gho文件了
……………… |
更改扩展名用ghost能打开吗?
附件:
8388022007414134254.gif
baohe - 2007-4-14 13:53:00
| 引用: |
【gtkx的贴子】随便问问猫叔,系统还原文件夹不会被兔宝宝感染吗?
……………… |
至少,目前所有的这三个变种不会感染系统还原文件夹。
我基本不用系统还原(所有分区的系统还原统统关闭了)。
玩儿兔宝宝,只是临时尝试一下系统还原。希望为别人提供一种收拾残局的可能选择。
baohe - 2007-4-14 13:54:00
| 引用: |
【gtkx的贴子】
更改扩展名用ghost能打开吗?
……………… |
这只兔子没删.gho备份
baohe - 2007-4-14 13:57:00
| 引用: |
【gtkx的贴子】造毒的不是已经不造了吗?下载链接也被他删了
……………… |
他那个链接公开了5天。
下载样本的人————多了去了。
天月来了 - 2007-4-14 14:01:00
gtkx
猫猫有个关于熊猫时的SSM详细的贴,你看到过吗?
他用的注册版本的。过于复杂了。
你就用官方的那个免费的吧。
都是中文的。自己对照猫猫的贴,能摸索出来的。
http://forum.ikaka.com/topic.asp?board=28&artid=8263966
baohe - 2007-4-14 14:05:00
| 引用: |
【天月来了的贴子】gtkx
猫猫有个关于熊猫时的SSM详细的贴,你看到过吗?
他用的注册版本的。过于复杂了。
你就用官方的那个免费的吧。
都是中文的。自己对照猫猫的贴,能摸索出来的。
http://forum.ikaka.com/topic.asp?board=28&artid=8263966
……………… |
我的SSM是收费版。
使了点儿小伎俩,就能长期用。具体的————在这里不能讲。
自己搜吧。这类帖子多极了。
gtkx - 2007-4-14 14:06:00
| 引用: |
【baohe的贴子】
这只兔子没删.gho备份
……………… |
newcenturymoon说这兔子删了备份,可能不是这个变种
gtkx - 2007-4-14 14:12:00
系统还原很容易引起注册表混乱,很麻烦的。搞到某些软件安装记录还回来,又卸载不了。
baohe - 2007-4-14 14:15:00
| 引用: |
【gtkx的贴子】
newcenturymoon说这兔子删了备份,可能不是这个变种
……………… |
我的实机运行结果————硬盘中的.GHO完好无损。
即使删除了硬盘中的.GHO,也没什么。我还有光盘的.GHO。
哪个病毒能删我只读光盘中的.GHO————我算它NB!!
附件:
1558472007414140938.jpg
© 2000 - 2026 Rising Corp. Ltd.