瑞星卡卡安全论坛
首页
»
技术交流区
»
可疑文件交流
»
大家研究下这个下载器
夲號ヱ被ジ盜 - 2009-1-7 17:24:00
http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=8585714#9295194
附件在2楼
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)
晕4 - 2009-1-7 23:34:00
附件:
您所在的用户组无法下载或查看附件
附件:
您所在的用户组无法下载或查看附件
附件:
您所在的用户组无法下载或查看附件
附件:
您所在的用户组无法下载或查看附件
:default2:那些文件都不能用了。。。
其他没什么特别
只要阻挡它连接网络就行
tksk - 2009-1-8 0:16:00
该用户帖子内容已被屏蔽
baohe - 2009-1-8 11:35:00
boots.exe是个感染/替换型下载器(感染%program flies%目录下的所有.exe文件);在%allusers%\\「开始」菜单\程序\启动\目录下释放病毒文件;在C盘根目录下释放N个病毒文件;替换系统文件userinit.exe。此替换可穿透影子。
如果删除了所有病毒文件,但未换回正常系统文件userinit.exe,下次开机,用户无法登录系统。
以上是此毒的概要。
晕4 - 2009-1-8 11:44:00
我这里没看见userinit.exe被替换了
晕4 - 2009-1-8 11:47:00
:default27:
难道与ca预设规则有关?
而且还会在%program flies%创建一个StromII的一个文件夹
内面有病毒文件(:default29: 忘记了名字了。。。)
最硬的石头 - 2009-1-8 12:16:00
就是强制安装一起来音乐助手,也没什么。。。
晕4 - 2009-1-8 12:20:00
:default3:
你试了?
没发现某些exe文件被感染
baohe - 2009-1-8 15:05:00
引用:
原帖由
晕4
于 2009-1-8 12:20:00 发表
:default3:
你试了?
没发现某些exe文件被感染
porgram files目录下的文件能否被此毒感染,完全取决于个人防护工具的设置。
如果用Tiny之类的工具,设置相应规则,看守住porgram files目录及其子目录(禁止写、删、建文件),则不会发生porgram files目录下的文件被病毒感染。
baohe - 2009-1-8 15:08:00
引用:
原帖由
晕4
于 2009-1-8 11:44:00 发表
我这里没看见userinit.exe被替换了
用IceSword彻底干掉杀软及其它安全工具的所有进程,再运行这个boots.exe。userinit.exe肯定被替换。
晕4 - 2009-1-8 20:37:00
引用:
原帖由
baohe
于 2009-1-8 15:05:00 发表
引用:
原帖由
晕4
于 2009-1-8 12:20:00 发表
:default3:
你试了?
没发现某些exe文件被感染
porgram files目录下的文件能否被此毒感染,完全取决于个人防护工具的设置。
如果用Tiny之类的工具,设置相应规则,看守住porgram files目录及其子目录(禁止写、删、建文件),则不会发生p
:default7:感谢猫版,我还需要学习ca的规则。
1
查看完整版本:
大家研究下这个下载器
© 2000 - 2026 Rising Corp. Ltd.
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件