有本usp10.dll的本体? bbs.ikaka.com

SpeW - 2009-1-30 12:01:00

好像大家现在发的都是喽罗啊:default6: 有没本体 ? 发来看看

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

newcenturymoon - 2009-1-30 12:09:00

这个dll里面有他下载病毒的地址下一个就行

文物2 - 2009-1-30 12:13:00

http://bbs.ikaka.com/showtopic-8592495.aspx

aaccbbdd - 2009-1-30 12:38:00

http://bbs.janmeng.com/search.php?searchid=227&orderby=lastpost&ascdesc=desc&searchsubmit=yes

SpeW - 2009-1-30 12:50:00

引用:

原帖由 aaccbbdd 于 2009-1-30 12:38:00 发表
http://bbs.janmeng.com/search.ph ... sc&searchsubmit=yes

剑盟注册要邀请码我没有.............

aaccbbdd - 2009-1-30 13:39:00

附件: 2774676.rar (2009-1-30 13:38:51, 35.72 K)
该附件被下载次数 201

解压密码：123

附件: usp10.rar (2009-1-30 13:38:51, 2.71 K)
该附件被下载次数 196

附件: usp10(2).rar (2009-1-30 13:38:51, 2.70 K)
该附件被下载次数 149

aaccbbdd - 2009-1-30 13:39:00

剑盟昨天开放了一天:default3:

SpeW - 2009-1-30 14:36:00

引用:

原帖由 aaccbbdd 于 2009-1-30 13:39:00 发表

附件: 2774676.rar (2009-1-30 13:38:51, 35.72 K)
该附件被下载次数 201

解压密码：123

附件: usp10.rar (2009-1-30 13:38:51, 2.71 K)
该附件被下载次数 196

附件: usp10(2).rar (2009-1-30 13:38:51, 2.70 K)
该附件被下载次数 149

刚解压就被瑞星干掉了.....:default3:

最硬的石头 - 2009-1-30 14:42:00

测试病毒还开杀软:default3:

aaccbbdd - 2009-1-30 14:43:00

关着监控，开着主防玩:default6:

SpeW - 2009-1-30 14:51:00

先搞了这个动作

aaccbbdd - 2009-1-30 14:52:00

瑞星默认设置可能扛不住
拦不全

楼主小心

SpeW - 2009-1-30 14:53:00

然后搞这个动作

SpeW - 2009-1-30 14:54:00

没事我还是事机测的我规则多这呢你看了我下面签名的帖就知道

SpeW - 2009-1-30 14:56:00

然后会后门调用RUNDLL32 被我的规则拦截了

SpeW - 2009-1-30 14:59:00

此毒果然阴损:default2: 如果没我这些规则估计很可能防御开高都挂了

SpeW - 2009-1-30 15:03:00

猫叔说对了如果一开始我点阻止的话它的进程还在那里它就会试图在windows\task下建立一个名为1点文件

SpeW - 2009-1-30 15:07:00

奇怪了?没见加载驱动啊?

SpeW - 2009-1-30 15:20:00

根据15 楼的图很明显在TEMP下已经有数字名的病毒了但猫叔说这是病毒联网下载的这是瑞星防火墙没发现还是此毒是直接释放病毒并不下载?:default3:

newcenturymoon - 2009-1-30 16:43:00

该病毒就是先释放一个 jiocs.dll然后rundll32.exe加载这个dll
随后病毒本体退出很多行为都是在那个dll中做的

SpeW - 2009-1-30 17:56:00

引用:

原帖由 newcenturymoon 于 2009-1-30 16:43:00 发表
该病毒就是先释放一个 jiocs.dll然后rundll32.exe加载这个dll
随后病毒本体退出很多行为都是在那个dll中做的

根据我的判断是TEMP里的数字文件病毒在调用RUNDLL32 你说加载这个DLL 那它符合加载远程动态库吗?

newcenturymoon - 2009-1-30 18:30:00

TEMP里的数字文件是驱动跟这个无关
rundll32.exe直接加载的那个dll文件这个不是加载远程动态库加载远程动态库是调用CreateRemoteThread函数

SpeW - 2009-1-30 18:55:00

引用:

原帖由 newcenturymoon 于 2009-1-30 18:30:00 发表
TEMP里的数字文件是驱动跟这个无关
rundll32.exe直接加载的那个dll文件这个不是加载远程动态库加载远程动态库是调用CreateRemoteThread函数

那个是驱动吗?? 怎么看出来的? 没.sys的扩展名啊? 指教一下吧:default6:

newcenturymoon - 2009-1-30 19:39:00

引用:

原帖由 SpeW 于 2009-1-30 18:55:00 发表

引用:

原帖由 newcenturymoon 于 2009-1-30 18:30:00 发表
TEMP里的数字文件是驱动跟这个无关
rundll32.exe直接加载的那个dll文件这个不是加载远程动态库加载远程动态库是调用CreateRemoteThread函数

那个是驱动吗?? 怎么看出来的? 没.sys的扩展名啊? 指教一下吧:def

文件类型不是靠扩展名看的～ 1.txt同样可以是可执行文件

瑞星卡卡安全论坛