今天刚抓的..全新的..象三无产品..


运行样本..
释放文件
C:\WINDOWS\system32\drivers\sppolsv.exe

创建启动项
[software\microsoft\windows\currentversion\run]
"svcshare"="C:\WINDOWS\system32\drivers\sppolsv.exe"

修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

尝试关闭窗口
防火墙
进程
尝试关闭窗口
防火墙
进程
杀毒
virusscan
nod32
网镖
毒霸
瑞星
江民
超级兔子
优化大师
木马清道夫
卡巴斯基反病毒
symantec antivirus
duba
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword
msctls_statusbar32

尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
regedit.exe

删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
kvwsc
kvsrvxp
kavsvc
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc

搜索感染除以下目录外的所有.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone

删除 .gho 文件

在访问过的目录下生成 desktop_.ini

文件用弱口令访问区域内的计算机(gamesetup.exe)...

留下的字:
sgryhtrjgfjgfh!
sdfgsdgdfsgsdfg!
sdfg!4
sdfg!5
sdfg!6
sdfgsdfg!10
sdfgsdfgfd!11
sdfgsdfg!12
sdfgsdfg!13
sdfgsdfg!14
sdfgsdfg!15

以上通过反汇编看的..

简要说说为什么说他三无..
第一次跑..不感染..分区释放 setup.exe 和 autorun.inf  禁服务 删启动..
第二次跑..不感染..分区释放 setup.exe 和 autorun.inf  禁服务 删启动..还能开任务管理器 注册表 等等..
第三次跑..不感染..分区释放 setup.exe 和 autorun.inf  禁服务 删启动..不修改隐藏服务..

这象 whboy 手里出的熊猫么? 太次了..不感染.. 而且每次运行都会有点缺陷..始终不感染..还不释放 desktop_.ini 太次了..
要是谁写的.或者谁改的..我要鄙视下那个人..玷污这"熊猫烧香"..

呵呵 高手讲话的语气是不一样的。。。。
刚刚看了你和瑞星工程师在网易做的访问，其中还有艾玛版主。。
不错 不错，奇怪的是，为什么没有BAOHE版主的访问。。。
http://news.163.com/07/0126/05/35O6E1L600011229.html
我很讨厌那个死记者，拍摄第一张图片的时候不拍正面，便要从上到下拍，，那我们网民还看个头，想看看反汇编是怎么反都不行

某种意义上熊猫烧香代表着中国的暗处的网络力量

引用:

【終生學習的贴子】 呵呵 高手讲话的语气是不一样的。。。。 刚刚看了你和瑞星工程师在网易做的访问，其中还有艾玛版主。。 不错 不错，奇怪的是，为什么没有BAOHE版主的访问。。。 我很讨厌那个死记者，拍摄第一张图片的时候不拍正面，便要从上到下拍，，那我们网民还看个头，想看看反汇编是怎么反都不行 ………………

那是19日的样本.. 可以看清楚的..

haha

引用:

【mopery的贴子】 那是19日的样本.. 可以看清楚的.. ………………

我是新手！请多关照！
我仔细放大了看了，还是看不清楚。
汗~~~~~~

总干这无聊的事
怎么不加个操作系统语言选择功能
只感染非中文系统多好

高手就是不一样

呵呵...有意思..

厉害 佩服 谢谢你对受害网民的贡献 谢谢：）