瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】最新熊猫烧香变种!!!

1   1  /  1  页   跳转

【原创】最新熊猫烧香变种!!!

收藏
turkey2k6
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-01-18
  • 来自:
发表于: 2007-01-18 16:07 | 只看楼主 短消息 资料
字号: 1楼

【原创】最新熊猫烧香变种!!!

病毒入口处见到的一些东西
::0040D0A6::  53                      PUSH EBX                                \:BYJMP JmpBy:0040D30C,
::0040D0A7::  33C0                    XOR EAX,EAX                           
::0040D0A9::  8945 E8                  MOV DWORD PTR [EBP-18],EAX             
::0040D0AC::  8945 EC                  MOV DWORD PTR [EBP-14],EAX             
::0040D0AF::  B8 F0CF4000              MOV EAX,40CFF0                              \->: \x15
::0040D0B4::  E8 2F79FFFF              CALL 004049E8                          \:JMPUP
::0040D0B9::  BB B8F74000              MOV EBX,40F7B8                         
::0040D0BE::  33C0                    XOR EAX,EAX                           
::0040D0C0::  55                      PUSH EBP                               
::0040D0C1::  68 B5D14000              PUSH 40D1B5                                \->: 楠d腚[鑌x16i
::0040D0C6::  64:FF30                  PUSH DWORD PTR FS:[EAX]               
::0040D0C9::  64:8920                  MOV DWORD PTR FS:[EAX],ESP             
::0040D0CC::  8B05 C4D14000            MOV EAX,DWORD PTR [40D1C4]             
::0040D0D2::  8905 E0F74000            MOV DWORD PTR [40F7E0],EAX             
::0040D0D8::  8B05 C8D14000            MOV EAX,DWORD PTR [40D1C8]             
::0040D0DE::  8905 E4F74000            MOV DWORD PTR [40F7E4],EAX             
::0040D0E4::  66:8B05 CCD14000        MOV AX,WORD PTR [40D1CC]               
::0040D0EB::  66:8905 E8F74000        MOV WORD PTR [40F7E8],AX               
::0040D0F2::  B8 D4F74000              MOV EAX,40F7D4                         
::0040D0F7::  BA D8D14000              MOV EDX,40D1D8                              \->: ***武*汉*男*生*感*染*下*载*者***
::0040D0FC::  E8 976BFFFF              CALL 00403C98                          \:JMPUP
::0040D101::  B8 D8F74000              MOV EAX,40F7D8                         
::0040D106::  BA 04D24000              MOV EDX,40D204                              \->: 感谢艾玛,mopery,海色の月,对此木马的关注!~
::0040D10B::  E8 886BFFFF              CALL 00403C98                          \:JMPUP
::0040D110::  B8 DCF74000              MOV EAX,40F7DC                         
::0040D115::  BA 38D24000              MOV EDX,40D238                              \->: PS:服了。。。艾玛。。。 =,=
::0040D11A::  E8 796BFFFF              CALL 00403C98                          \:JMPUP
::0040D11F::  8D4D EC                  LEA ECX,DWORD PTR [EBP-14]             
::0040D122::  BA 60D24000              MOV EDX,40D260                              \->: xboy
::0040D127::  B8 70D24000              MOV EAX,40D270                              \->: "++戊+缓"叛*聋+肛+删"蚊*苜+兆++*
::0040D12C::  E8 2F82FFFF              CALL 00405360                          \:JMPUP
::0040D131::  8B55 EC                  MOV EDX,DWORD PTR [EBP-14]             
::0040D134::  A1 D4F74000              MOV EAX,DWORD PTR [40F7D4]             
::0040D139::  E8 DA6EFFFF              CALL 00404018                          \:JMPUP
::0040D13E::  74 09                    JE SHORT 0040D149                      \:JMPDOWN
::0040D140::  6A 00                    PUSH 0                                 
::0040D142::  E8 C579FFFF              CALL 00404B0C                          \:JMPUP    >>>: KERNEL32.DLL:ExitProcess
::0040D147::  EB 51                    JMP SHORT 0040D19A                      \:JMPDOWN
::0040D149::  8D4D E8                  LEA ECX,DWORD PTR [EBP-18]              \:BYJMP JmpBy:0040D13E,
::0040D14C::  BA 9CD24000              MOV EDX,40D29C                              \->: whboy
::0040D151::  B8 ACD24000              MOV EAX,40D2AC                              \->: d}tq;*&tyld|l.lboy'blt.vj{l'|}|
::0040D156::  E8 0582FFFF              CALL 00405360                          \:JMPUP
::0040D15B::  8B55 E8                  MOV EDX,DWORD PTR [EBP-18]             
::0040D15E::  B8 D8D24000              MOV EAX,40D2D8                              \->: `uup2..uxe`tm/vhjnx.fdu/nsm&uyt
::0040D163::  E8 B06EFFFF              CALL 00404018                          \:JMPUP
::0040D168::  74 09                    JE SHORT 0040D173                      \:JMPDOWN
::0040D16A::  6A 00                    PUSH 0                                 
::0040D16C::  E8 9B79FFFF              CALL 00404B0C                          \:JMPUP    >>>: KERNEL32.DLL:ExitProcess



病毒主体大小:64542字节大小,aspack压缩
最后编辑2007-01-18 16:59:35
分享到:
gototop
 
xiaoyueIQ
头像
强壮不惑狮
  • 帖子:1076
  • 注册: 2006-11-11
  • 来自:蓝迪亚斯
发表于: 2007-01-18 16:14 | 短消息 资料
字号: 2楼


\好像是啊
      居然有艾玛
gototop
 
饭后点心
头像
初生襁褓狮
  • 帖子:380
  • 注册: 2006-11-14
  • 来自:
发表于: 2007-01-18 16:16 | 短消息 资料
字号: 3楼

PS:服了。。。艾玛。。。 =,=
这句话什么意思?上面的我看到过,这句倒是新出来的??
gototop
 
turkey2k6
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-01-18
  • 来自:
发表于: 2007-01-18 16:30 | 只看楼主 短消息 资料
字号: 4楼

我也不清楚,下午1:30左右感染的,立马分析了下,发现多了上面这句,呵呵
gototop
 
xiaoyueIQ
头像
强壮不惑狮
  • 帖子:1076
  • 注册: 2006-11-11
  • 来自:蓝迪亚斯
发表于: 2007-01-18 16:35 | 短消息 资料
字号: 5楼

moper
这里有斑竹的名
gototop
 
deadmanzj
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-07-24
  • 来自:
发表于: 2007-01-18 16:40 | 短消息 资料
字号: 6楼

好早了 ,最新的已经变掉了!
gototop
 
turkey2k6
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-01-18
  • 来自:
发表于: 2007-01-18 16:55 | 只看楼主 短消息 资料
字号: 7楼

这句话倒是在1月9日的一个版本中已经出现了,但我今天中的这个,用手头上现有的专杀工具却扫描不到,why?
gototop
 
afkp4e7
头像
叱咤花甲狮
  • 帖子:2684
  • 注册: 2006-12-01
  • 来自:
发表于: 2007-01-18 17:05 | 短消息 资料
字号: 8楼

民间改装版
gototop
 
“缘”来定天下
头像
初生襁褓狮
  • 帖子:128
  • 注册: 2005-12-07
  • 来自:
发表于: 2007-01-18 17:08 | 短消息 资料
字号: 9楼

烧吧!~~~~~~~~
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT