您正在查看 "Virus" 分类下的文章
2007-11-08 02:03
呵呵~~~夜深人静发篇文章^^。
今晚通宵的目的就是:帮hzqedison同学设计这个“可疑文件在线扫描系统”。很不好意思的说。。。拖了好久才抽时间制作。现在制作出来了。版权归hzqedison所有,我的是盗版的^^。
还是我的风格:兼容IE/FF。也兼容Opera。不过我有点受不了Opera了!表单的显示风格太个性了吧?!为了统一表单样式,我还要多写好几行CSS代码。这次不写了,反正功能没问题就OK。。。截图:
|
2007-08-19 15:24
前天工作室的电脑中了这个病毒,**door0.dll与**door1.dll(注:**表示两个随机字符),这些dll文件都在system32目录下。今天工作室没事,我就稍微检查了一下。原来是ghost.pif的变种。我看到阳光那有分析:邪恶的ghost.pif又出新变种(兼答**door0.dll木马群的查杀)。不过他的解决方案不可行。所以我还是给出自己的解决方案吧。
这些dll文件喜欢注入Explorer.exe中,用Process Explorer来冻结这些dll文件, |
2007-06-18 20:16
疯狂了两个星期,AV终结者开始没声音了,不过还是“余音绕梁”啊。我最后一次制作这个病毒变种的专杀,以后不管它了(如果它又爆发,那再说吧),有特别需要的网友可以联系我定制(免费的- -||)。
制作非常的容易,因为已经有余弦提供的“完美”模板了(也就是网上流传的什么Autorun专杀的VBS源码,不知道是谁取的这个名字……)。你只要将此毒的一些路径啊,进程名,启动项的键值名称填进去即可……玩VBS脚本玩都这个境界就没意思了- -||。转行……搞底层去。保存下面的代码为VBS后缀,运行即可杀此毒!看得懂VBS的就知 |
2007-06-14 11:37
病毒dgassgg.exe是七位字母命名的病毒变种,金山称之为“AV终结者”,不明白为什么这样称呼,不就IFEO劫持有点疯狂吗?今天收到网友的邮件,给出了ewido杀dgassgg.exe的结果(ewido也称其为AVkiller):
C:\windows\system32\meex.com
C:\windows\system32\rslrgah.exe
C:\windows\system32\wmmbflg.exe
D:\dgassgg.exe
F:\dgassgg.exe(移动硬盘)
上BAIDU查找,发现只有一项结果,是个SRENG的扫描报告,有价值的是其启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dagssg |
2007-06-11 22:47
skrmejg.exe又是之前分析的七位字母命名的病毒变种。好无聊……IFEO劫持了那些安全软件,后台下载其它类型的病毒。蛇鼠一窝……虽然导致安全模式进不了,不过只要能进正常模式,那么此毒必死……杀毒前记得断网!卡巴报skrmejg.exe为Virus.Win32.AutoRun.ao。先看skrmejg.exe的行为分析:
Virus.Win32.AutoRun.ao行为分析
一、病毒运行后生成如下文件:
%ProgramFiles%\Common Files\System\jgnlkpy.exe
%ProgramFiles%\Common Files\Microsoft Shar |
2007-06-07 16:20
多亏 飞龙断雪的那篇“脚本GUI界面”的文章,我才尝试着为此专杀增加了图形界面,也终于用VBScript脚本完成了专杀的制作。执行效率同样很高!原来专杀也可以是一个WEB页面……不过我这个专杀的后缀不是HTM或HTML,而是HTA(HTML APPLICATION):
|
2007-06-06 14:30
看到草莽书生的VirusKillBox被七位字母命名的病毒IFEO劫持了。他针对此类病毒给出了的修复指令很丰富了,不过却遭到新变种的反击……不过这样的反击不值一提,改个软件的名字即可绕过。说这个病毒是小病毒一点也没错。我决定向草莽书生、农夫、FlowerCode等靠近,重新拿起C、VB、汇编……用VBS脚本写专杀的源码既然已经公开,就不打算今后采取加密的措施了。
今天在 |
2007-06-05 12:14
昨晚flint说他要测试病毒,看看他的安全套装强大不。一不小心(疏忽),小红伞被udnnnvq.exe给KILL了……他告诉我在盘符根目录下(除了C盘),病毒创建了奇怪的随机7位字母的文件夹,此文件下还有个带点的文件夹,删不了……我在解决过程中发现此毒也会将我专杀生成的免疫文件夹autorun.inf改名为随机7位数,然后病毒顺利创建autorun.inf隐藏文件!今早上完课收到网友来的邮件,附带了病毒样本nqgphqd.exe。这个病毒与udnnnvq.exe一样具有这样的行为!心寒……
nqgphqd.exe与udnnnvq.exe皆为 |
2007-06-04 15:46
5月30号发布的Autorun病毒kocmbcd.exe专杀获得了很好的效果,这是在我意料之外的事了。VBS脚本写的杀毒指令比起那些具有独立杀毒引擎(Windows清理助手)的工具差多了。不过欣慰的是,VBS写的专杀确实带来了很好的效果。
我这里有Virus.Win32.AutoRun的两个变种:Virus.Win32.AutoRun.f(我分析的kocmbcd.exe就是此变种)与Virus.Win32.AutoRun.ag( |
2007-06-03 17:24
这个变种不是新变种,昨天分析的才是新变种。OSO.exe(Trojan-PSW.Win32.QQPass.uj)通过移动盘传播,盗取用户QQ帐号,由于与以前的一些变种的行为基本一样,我就不写详细的分析报告了。
一、病毒文件:
%SystemRoot%\system32\dyqhxf.exe
%SystemRoot%\system32\severe.exe
%SystemRoot%\system32\dyqhxf.dll
%SystemRoot%\system32\drivers\conime.exe
%SystemRoot%\syste |
|
| 
