瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.

123   1  /  3  页   跳转

致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:25 | 只看楼主 短消息 资料
字号: 1楼

致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.



1、关闭所有安全软件,运行DCFEEAC5.EXE(图1)。

附件附件:

下载次数:290
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:25:45
描述:
预览信息:EXIF信息



最后编辑2007-06-06 12:33:40.327000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:26 | 只看楼主 短消息 资料
字号: 2楼

2、重启。重启后,所有安全软件可以正常运行,用auroruns可看到病毒启动项(图2)。可用autoruns删除之。

附件附件:

下载次数:279
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:26:34
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:27 | 只看楼主 短消息 资料
字号: 3楼

3、删除其启动项后,病毒试图通过explorer.exe重写其启动项(图3);可被SSM阻止。

附件附件:

下载次数:291
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:27:19
描述:
预览信息:EXIF信息
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-06 10:27 | 短消息 资料
字号: 4楼

又看猫猫的贴了
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:27 | 只看楼主 短消息 资料
字号: 5楼

4、IFEO劫持项————一个也没写成(图4)。因为我事先已将IFEO键删除了。由此可见,目前的变种尚无建立IFEO键的能力。

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:27:56
描述:
预览信息:EXIF信息
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-06 10:28 | 短消息 资料
字号: 6楼



这次更新的和以前作风大相径庭哈``
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:28 | 只看楼主 短消息 资料
字号: 7楼

5、病毒文件可以通过普通方式删除(图5)。然后,顺手删除那个CLSID即可。

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:28:30
描述:
预览信息:EXIF信息
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-06 10:32 | 短消息 资料
字号: 8楼

那此更新是加了ASProtec壳,有些功能好像没有发挥出来``




好像又更新了```
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:33 | 只看楼主 短消息 资料
字号: 9楼

引用:
【孤独更可靠的贴子】

这次更新的和以前作风大相径庭哈``


………………

我认为:主要是因为我事先删除了IFEO键的原因。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-06 10:36 | 短消息 资料
字号: 10楼

引用:
【baohe的贴子】
我认为:主要是因为我事先删除了IFEO键的原因。
………………


我也给了阳光个,他说也没有生成IFEO

我也写了个分析``

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html




插进程的那个dll,重启后autoruns也可以打开啊?
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT