时间退缩..1980年..现在病毒够阴险.. - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛时间退缩..1980年..现在病毒够阴险..

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7 8 »

1 / 19 页

跳转页

时间退缩..1980年..现在病毒够阴险..

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2007-01-22 17:10 \| 只看楼主短消息资料字号：小中大 1楼时间退缩..1980年..现在病毒够阴险.. 又是个U盘病毒..文件名随机.. 具体写个分析.. 运行样本生成文件 C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\.exe X:\.exe X:\Autorun.inf X=C D E F H .... =大小写字母随机命名修改注册表 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 生成注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 访问网站 http://www.sinavip.net/A.asp?Id=5540850987 http://www.lcsm.cn/nami.htm Listsas.txt 内容为 4002http://www.sinavip.net/k1.rar 4003http://www.sinavip.net/ma.rar 30"http://www.lcsm.cn/nami.htm" 31"http://www.jing88.com/1ndex.asp" 31"http://www.ishici.com" listsas.txt 与服务器上 http://www.sinavip.net/list.txt 同步.. 内容一样.. 系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用.. 连网下载 C:\WINDOWS\003.exe C:\WINDOWS\002.exe 同时生成 C:\WINDOWS\002.txt C:\WINDOWS\003.txt 处理方法:(安全模式操作) 删除文件 C:\WINDOWS\002.exe C:\WINDOWS\002.txt C:\WINDOWS\003.exe C:\WINDOWS\003.txt C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\.exe X:\.EXE X:\Autorun.inf 修复注册表.. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue 编辑改成 1 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe, 删除注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun" 键值.. (这个键值涉及到一些设置..象我电脑就不会有这个键值..稍微修改下..删除单个键值) 最后更改一下年份即可.. 2007-03-02 22:13:40
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2007-01-22 17:20 \| 短消息资料字号：小中大 2楼 autorun.rar 不是压缩文件吗？？？
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2007-01-22 17:28 \| 只看楼主短消息资料字号：小中大 3楼他压给我四个文件.. 我不知道说那个..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2007-01-22 17:36 \| 短消息资料字号：小中大 4楼哦。。。。。 autorun他NND和一个工具一样的文件名。。
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

oO农民工Oo 初生襁褓狮帖子:7 注册: 2007-01-22 来自:	发表于： 2007-01-22 19:55 \| 短消息资料字号：小中大 5楼实话不瞒你````我看不懂，，，也不会```不知道怎么搞````````我现在用卡把杀掉了，，可是还是出现强制加载流氓软件`````还会出现错误，点错误就掉线```ADSL还在下面闪```不知道怎么搞的！！！
oO农民工Oo 初生襁褓狮帖子:7 注册: 2007-01-22 来自:

锋芒艾服狮

帖子:1266
注册: 2006-10-22
来自:

发表于： 2007-01-22 20:48 | 短消息资料

字号：小中大 6楼

引用:

【mopery的贴子】他压给我四个文件.. 我不知道说那个..
………………

感染别的分区，修改注册标隐藏的招从什么时候开始流行的？

gototop

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2007-01-23 14:04 \| 短消息资料字号：小中大 7楼丫的80年出生？
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

zq77 雄霸杖朝狮帖子:16648 注册: 2006-02-24 来自:江苏	发表于： 2007-01-23 14:08 \| 短消息资料字号：小中大 8楼这不是我干的
zq77 雄霸杖朝狮帖子:16648 注册: 2006-02-24 来自:江苏

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-01-23 14:10 \| 短消息资料字号：小中大 9楼好烈害啊..可以改日期... 我的移动盘上就有auto这个字样...又击盘符打不开.. 只能用右键打开..难道我也中毒了!
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-01-23 14:10 \| 短消息资料字号：小中大 10楼好烈害啊..可以改日期... 我的移动盘上就有auto这个字样...又击盘符打不开.. 只能用右键打开..难道我也中毒了!
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

<<上一主题|下一主题>>

12 3 4 5 6 7 8 »

1 / 19 页

跳转页

页面顶部

Powered by Discuz!NT