瑞星卡卡安全论坛

蠕虫，通过IFEO劫持废掉多种杀软、防火墙.......的蠕虫，嚣张之极！最近的新变种，连IceSword它也敢动手动脚了！
牛得呀——不知道自己姓什么了！

拎出几个这样的“猪”来，将其“阉割”掉，像臭猪一样养着。

也让朋友们看看——这群臭猪没什么了不起！

注意俺的任务栏啊————该有的（原先被“猪”们劫持的软件），一个不少。那个89C11是IceSword。

附件: 1558472007612164242.jpg

病毒越来越变态了

什么时候我也养些玩玩

病毒也催生了杀毒厂商的市场

猫叔不仅技术好  而且搞笑 

引用:

【baohe的贴子】 蠕虫，通过IFEO劫持废掉多种杀软、防火墙.......的蠕虫，嚣张之极！最近的新变种，连IceSword它也敢动手动脚了！ 牛得呀——不知道自己姓什么了！ 拎出几个这样的“猪”来，将其“阉割”掉，像臭猪一样养着。 也让朋友们看看——这群臭猪没什么了不起！ 注意俺的任务栏啊————该有的（原先被“猪”们劫持的软件），一个不少。那个89C11是IceSword。 ………………

老大,那个改编后的IS它无法关闭吧?

我没试```

用不上`

他怎么动IS了?最小化?是通过模拟键盘实现么?
昨天遇到了很早的烧香,才知道他也是防IS的,不断的刷CMD命令行.

引用:

【孤独更可靠的贴子】 老大,那个改编后的IS它无法关闭吧? 我没试``` 用不上` ………………

改编后的IS，改名运行，目前的这些IFEO劫持变种还拿它没办法。

呵呵，现在猪涨价了，猫叔也有副业了。哈哈

引用:

【loveperday的贴子】他怎么动IS了?最小化?是通过模拟键盘实现么? 昨天遇到了很早的烧香,才知道他也是防IS的,不断的刷CMD命令行. ………………

具体机制说不清楚。
据说是通过扫描“PJF”（IceSword的作者）、图标等捕获IceSword的运行信息。扫到后，就将IceSword窗口最小化。
新改变的IceSword 1.20已经解决了这个问题。

引用:

【loveperday的贴子】他怎么动IS了?最小化?是通过模拟键盘实现么? 昨天遇到了很早的烧香,才知道他也是防IS的,不断的刷CMD命令行. ………………

不是最小化IS

利用挂勾技术,隔几毫秒刷新次,是关闭(不返结果和提示),事实上它并关不掉.


不过却达到目的了.

新的也是PJF开发的么？我下的个新的貌似不是。。。

引用:

【loveperday的贴子】新的也是PJF开发的么？我下的个新的貌似不是。。。 ………………

不是PJF的，是网友改编的。
PJF这样的老大，对病毒作者那些雕虫小技不屑一顾。

引用:

【loveperday的贴子】新的也是PJF开发的么？我下的个新的貌似不是。。。 ………………

花指令改编的``

附上关SREng和IS的反汇编:

CODE:004084C4 ; char s_Sreng[]
CODE:004084C4 s_Sreng          db '关于 SREng',0        ; DATA XREF: sub_408320+B2 o
CODE:004084CF                  align 10h
CODE:004084D0                  db 0FFh,0FFh,0FFh,0FFh,0Ah,0
CODE:004084D6                  align 4
CODE:004084D8 s_Afx400000      db 'Afx:400000',0        ; DATA XREF: sub_408320+F9 o
CODE:004084E3                  align 4
CODE:004084E4 ; char s_Msctls_status[]
CODE:004084E4 s_Msctls_status db 'msctls_statusbar32',0 ; DATA XREF: sub_408320+112 o
CODE:004084F7                  align 4
CODE:004084F8 ; char s_GPjfUstc[]
CODE:004084F8 s_GPjfUstc        db '作者：pjf(ustc)',0    ; DATA XREF: sub_408320+11F o
CODE:00408508 ; char s_Afx4000001000[]
CODE:00408508 s_Afx4000001000 db 'Afx:400000:1000',0    ; DATA XREF: sub_408320+124 o

据说是个中科大的老师？？！！
强的，恩恩。不过我下的那个改编版图标全为空，看得郁闷。。。

引用:

【loveperday的贴子】据说是个中科大的老师？？！！ 强的，恩恩。不过我下的那个改编版图标全为空，看得郁闷。。。 ………………

我找的那个————

附件: 1558472007612173210.jpg

引用:

【baohe的贴子】 我找的那个———— ………………

嗯,一样``

MD5: 20641485F5ED896D2135C51B1DF2852B

583,680k``

对，一样一样。鼠标有时候会消失，嘿，不过估计他也懒的改了。。
有种预感，冰刃会成为众矢之的。。

对，一样一样。鼠标有时候会消失，嘿，不过估计他也懒的改了。。
有种预感，冰刃会成为众矢之的。。

猫叔啊,快点写个解决办法吧!~我那天搞到的不是病毒样本,那家伙现在和你说的一样,把冰刃禁止使用,改名字也是最小化..SRENG根本无法使用,打开就被关闭了,任何软件都是如此..WARAR倒还可以用...注册表被禁用,我用代码搞好,进去发现那劫持删除掉依然是没用,病毒进程都不知道是哪个!!!根本无法显示隐藏文件,显示了又被设置为不显示了....根本没办法处理那,我的实战经验少,希望猫叔能帮忙远程下喽,那MM的QQ:601791287,你要样本自己去弄吧,我实在没办法了,弄好后能帮忙写个解决方法出来看看最好了!~谢谢了!~


那个MM实在是强,居然DOS下直接搞定了,弄的我汗死了.....

呵呵

浪子也遇到难题了。

可别到猫猫那很简单哦，不过我知道猫猫从不用QQ

这得找阳光哦。

那个,猫叔,那冰刃似乎无法使用哈..

附件: 7564622007613174742.bmp

你别在病毒这问题上捣鼓你那批处理了。

会DOS的人，在处理病毒上，大多会选择DOS下删除文件的。