瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于病毒QQGame.exe
baohe - 2008-5-7 21:26:00


1、释放下列病毒文件。病毒文件名随机(图1)。

2、添加下列注册表项(图2)。

3、感染非系统分区可执行文件。被感染文件图标变为.rar文件图标。

4、删除安全模式。

杀毒:

1、结束病毒进程。
2、删除病毒文件。
3、清理注册表。
4、被感染文件暂勿用,等杀软升级后处理。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; (R1 1.5); InfoPath.1)
超级游戏迷 - 2008-5-7 21:32:00
感染非系统分区可执行文件。被感染文件图标变为.rar文件图标

终于找到原因了,前几天有朋友提过类似问题……
射手的神话 - 2008-5-7 22:11:00
清理注册表,是不是就是把列出来的四个键值删除呢?
sako - 2008-5-8 6:42:00


可以直接用电脑的注册表编辑器

sreng也可以
自由蓝 - 2008-5-15 22:33:00
能说详细点吗  我是菜鸟  看不懂你说的 有不知道怎么弄:default3: :default3:
轩辕小聪 - 2008-5-16 19:34:00
以下是病毒体中感染文件的子函数内容:

传入的参数是文件完整路径。
00401AAD  /$  B8 A42B4000  mov    eax, 00402BA4
00401AB2  |.  E8 C90C0000  call    <jmp.&MSVCRT._EH_prolog>
00401AB7  |.  56            push    esi
00401AB8  |.  68 70404000  push    00404070                                                    ; /mode = "rb+"
00401ABD  |.  FF75 08      push    dword ptr [ebp+8]                                          ; |path
00401AC0  |.  FF15 48324000 call    dword ptr [<&MSVCRT.fopen>]                                ; \fopen
00401AC6  |.  8BF0          mov    esi, eax
00401AC8  |.  59            pop    ecx
00401AC9  |.  85F6          test    esi, esi
00401ACB  |.  59            pop    ecx
00401ACC  |.  74 1E        je      short 00401AEC
00401ACE  |.  56            push    esi                                                        ; /stream
00401ACF  |.  FF35 20404000 push    dword ptr [404020]                                          ; |n = 6000 (24576.)
00401AD5  |.  6A 01        push    1                                                          ; |size = 1
00401AD7  |.  68 38464000  push    00404638                                                    ; |ptr = Launcher.00404638
00401ADC  |.  FF15 54324000 call    dword ptr [<&MSVCRT.fwrite>]                                ; \fwrite
00401AE2  |.  56            push    esi                                                        ; /stream
00401AE3  |.  FF15 4C324000 call    dword ptr [<&MSVCRT.fclose>]                                ; \fclose
00401AE9  |.  83C4 14      add    esp, 14
00401AEC  |>  834D FC FF    or      dword ptr [ebp-4], FFFFFFFF
00401AF0  |.  8D4D 08      lea    ecx, dword ptr [ebp+8]
00401AF3  |.  E8 C20A0000  call    <jmp.&MFC42.#800_CString::~CString>
00401AF8  |.  8B4D F4      mov    ecx, dword ptr [ebp-C]
00401AFB  |.  5E            pop    esi
00401AFC  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
00401B03  |.  C9            leave
00401B04  \.  C3            retn

看完这一段,就很明显了,病毒将从自身文件中读取出来的前0x6000字节内容,覆盖了被感染文件的最前方。这样就没有修复的可能了。
天月来了 - 2008-5-16 19:37:00
死了哩

这个感染型的病毒,在360论坛喊的特别多。

还是不中着毒为好。否则一塌糊涂。:default2:
轩辕小聪 - 2008-5-16 19:57:00


引用:
原帖由 天月来了 于 2008-5-16 19:37:00 发表
死了哩

这个感染型的病毒,在360论坛喊的特别多。

还是不中着毒为好。否则一塌糊涂。:default2: 

比较BS这样的,不会感染就别玩,居然来个覆盖,使得文件没有办法修复,比熊猫烧香恶劣多了,怀疑这作者有病:default4:
秋叶濛濛 - 2008-5-16 20:18:00
覆盖掉了....真够恶毒的
修复不了了...
tigerart - 2008-5-17 18:12:00
找找是哪个死人发的,可恶!
闲云野鹤山人 - 2008-5-31 21:48:00
到底怎么杀啊?看不懂。谁能帮忙?
cardiminel - 2008-5-31 22:29:00
这和我win32.loader.af一样,前天我不在,朋友在这里玩了一天,就中了这东东,主程式net.exe,遍历所其它盘的exe文件,我正要向学长们请教,这是不是没有救了,
我现在是带病工作哩
cardiminel - 2008-5-31 22:38:00
我是说我的电脑带病工作呢
CoPYto - 2008-8-8 15:47:00
能发下样本吗?
皖东 - 2010-1-29 19:26:00
没搞过
1
查看完整版本: 关于病毒QQGame.exe
© 2000 - 2025 Rising Corp. Ltd.