瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】"随机8位数".exe又更新了[5.25]```无语了``

12345   2  /  5  页   跳转

【原创】"随机8位数".exe又更新了[5.25]```无语了``

收藏
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 15:48 | 只看楼主 短消息 资料
字号: 11楼

引用:
【emtry的贴子】孤独更可靠,你好!
你在百度和这里发表的杀毒过程我也看过了,请问可以将你获得的关于这个毒病的样版发给我好吗?我也想虚拟机机试试看,这样我可以更好的学会怎么用SSM各TINY了。
邮箱地址:xosxon@gmail.com
谢谢!
………………


仍了``找猫叔要吧``

抱歉``
gototop
 
xin01
头像
拙长孩提狮
  • 帖子:107
  • 注册: 2007-05-22
  • 来自:
发表于: 2007-05-30 16:01 | 短消息 资料
字号: 12楼

%windir%\hh.exe ms-its%windir%\help\windows.chm::/windows.htm
我头疼这几天,inf 文件不见了,帮助支持没了...现在怎么办.还有.C:\WINDOWS\inf\pchealth.inf  这个不能安装了。怎么办。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 16:05 | 短消息 资料
字号: 13楼

引用:
【孤独更可靠的贴子】
老大,前天和Ghost.pif以前发过去拉!

一共是2个随机8位数的.exe

一个是UPX壳的(原汁原味),另一个我脱好后的,MD5发生变化了

没有收到么?
………………


就是那个包里的“8位数的.exe”啊?
IceSword依然能宰。
连注册表守护功能都没有,再多的IFEO劫持项也是白搭!
regedit.exe也没封死,也没彻底劫持
另外,文件重新命名也没看住。那N多劫持项有个P用!
再次鄙视一下该病毒作者(脑子进水了吧?)。水平还不如熊猫烧香的作者。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-05-30 16:12 | 短消息 资料
字号: 14楼

引用:
【孤独更可靠的贴子】

仍了``找猫叔要吧``

抱歉``
………………

样本地址http://google.171738.org/update.exe
只需把http://google.171738.org/ad2.js里面的加密恶意代码解出来,就可以得到下载的地址了。利用MS06-014和MS07-017双料挂马的。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 16:13 | 只看楼主 短消息 资料
字号: 15楼

引用:
【baohe的贴子】

就是那个包里的“8位数的.exe”啊?
IceSword依然能宰。
连注册表守护功能都没有,再多的IFEO劫持项也是白搭!
regedit.exe也没封死,也没彻底劫持
另外,文件重新命名也没看住。那N多劫持项有个P用!
再次鄙视一下该病毒作者(脑子进水了吧?)。水平还不如熊猫烧香的作者。
………………


咦,他那个dat和dll是靠注册表守护的啊?


HKEY_CLASSES_ROOT\CLSID\{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}\InProcServer32\
C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll

这个吗?!!
gototop
 
xin01
头像
拙长孩提狮
  • 帖子:107
  • 注册: 2007-05-22
  • 来自:
发表于: 2007-05-30 16:15 | 短消息 资料
字号: 16楼

那个病毒作者很叼啊,小心有一天双手表一起来接你...
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 16:18 | 短消息 资料
字号: 17楼

引用:
【孤独更可靠的贴子】

咦,他那个dat和dll是靠注册表守护的啊?


HKEY_CLASSES_ROOT\CLSID\{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}\InProcServer32\
C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll

这个吗?!!


………………

等等!
咱俩别说拧了吧?
你说的是这个不?

附件附件:

下载次数:152
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-30 16:18:30
描述:
预览信息:EXIF信息
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 16:23 | 只看楼主 短消息 资料
字号: 18楼

引用:
【轩辕小聪的贴子】
样本地址http://google.171738.org/update.exe
只需把http://google.171738.org/ad2.js里面的加密恶意代码解出来,就可以得到下载的地址了。利用MS06-014和MS07-017双料挂马的。
………………


哦,对,我怎么忘记了

我测试时候得到的是Hello.exe

嘿嘿
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-30 16:24 | 只看楼主 短消息 资料
字号: 19楼

引用:
【baohe的贴子】
等等!
咱俩别说拧了吧?
你说的是这个不?
………………


对啊,是那个的,里面有2个EXE文件的,MD5不同

其实是一样的,一个有壳,一个没有
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 16:36 | 短消息 资料
字号: 20楼

引用:
【孤独更可靠的贴子】

对啊,是那个的,里面有2个EXE文件的,MD5不同

其实是一样的,一个有壳,一个没有


………………

那就对了。
用IceSword能搞死它。
我说过,手工杀这个毒是玩儿智力游戏吗。
变换一点点策略。
咱还不欺负它。它不是劫持Tiny和瑞星吗?我彻底关闭Tiny和瑞星的所有模块,再运行它。SSM也关掉。
它劫持我的IceSword?改名了。
它插进程?有IceSword还怕这招?
就用一个IceSword(其它的都不用)就能玩儿死它。
gototop
 
<<上一主题|下一主题>>
12345   2  /  5  页   跳转
页面顶部
Powered by Discuz!NT