瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 恶作剧??
wjzdw - 2008-7-5 18:09:00
运行后

电脑自动重启    重启完了又重启  循环下去

晕死  还好有多个用户  登陆另一个用户  发现新增了个服务  如图
 附件: 您所在的用户组无法下载或查看附件

好象是利用关机时写入系统的

瑞星并没有提示
(木马也这样就糟了)


....

有兴趣的分析看看....

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; CIBA)

附件: svchost.rar
baohe - 2008-7-5 20:28:00
纯属个人安全意识及防护问题。
这个程序运行后,无文件释放。只是添加了一个注册表项。
如果有HIPS之类的工具,阻止此程序的重启动作,删除那个注册表项即可。


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
wjzdw - 2008-7-5 21:52:00
:kaka4: 没办法  瑞星能监控的都开了  就是不能阻止它关机......

对于普通用户 不能要求他专门装个  HIPS吧

补充:样本转自卡饭...别说我侵权
轩辕小聪 - 2008-7-6 16:25:00
同刚刚看到的那帖的样本类似,同样是Delphi 7所写的,基于TForm类的程序,无壳,同样直接用DeDe进行反编译。
从反编译后的.pas看到,这个程序的结构比较简单:

[复制到剪贴板]
CODE:
TForm1=class(TForm)
procedure FormCreate(Sender : TObject);
private
{ Private declarations }
public
{ Public declarations }
end ;


其中起作用的就只有一个FormCreate过程。

其行为:
procedure FormCreate(Sender : TObject);{当窗口被创建,收到WM_CREATE消息时,此函数被调用}
begin

[复制到剪贴板]
CODE:
调用GetSystemTime获得系统时间
得到计算机名,但是并没有保存这个名称
比较系统时间中的月份是否为7,如不为7,则直接关闭自身窗口,程序会退出
也就是说,这个程序之后的行为,只在7月份才会表现出来:
将计算机名改为"Serveb"
为自身进程提"Seshutdownprivilege"权限(要进行关机或重启的操作,需要有这个权限)
ExitWindows Ex(EWX_REBOOT|EWX_FORCE,0);(强制重启系统,API中间有个空格,是因为不知道为什么被卡卡屏蔽了,所以只能改成这样)
SetWindowLong(Form1.Handle,GWL_EXSTYLE,WS_EX_TOOLWINDOW);{为自身窗口增加一个tool window的扩展属性,这样它不会出现在任务栏上}
在注册表
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
创建Msconfig键,值为自身文件路径,以实现每次开机后的自启动。


end;
1
查看完整版本: 恶作剧??
© 2000 - 2024 Rising Corp. Ltd.