2007-06-04 15:46
5月30号发布的Autorun病毒kocmbcd.exe专杀获得了很好的效果,这是在我意料之外的事了。VBS脚本写的杀毒指令比起那些具有独立杀毒引擎(Windows清理助手)的工具差多了。不过欣慰的是,VBS写的专杀确实带来了很好的效果。
我这里有Virus.Win32.AutoRun的两个变种:Virus.Win32.AutoRun.f(我分析的kocmbcd.exe就是此变种)与Virus.Win32.AutoRun.ag( |
2007-06-03 17:24
这个变种不是新变种,昨天分析的才是新变种。OSO.exe(Trojan-PSW.Win32.QQPass.uj)通过移动盘传播,盗取用户QQ帐号,由于与以前的一些变种的行为基本一样,我就不写详细的分析报告了。
一、病毒文件:
%SystemRoot%\system32\dyqhxf.exe
%SystemRoot%\system32\severe.exe
%SystemRoot%\system32\dyqhxf.dll
%SystemRoot%\system32\drivers\conime.exe
%SystemRoot%\syste |
2007-06-02 22:39
SysWFGQQ2.dll是盗QQ木马Trojan-PSW.Win32.QQPass.pf(QQ通行证变种)释放的DLL文件,这次它是随着Autorun病毒kocmbcd.exe而来的,并与OnlineGames盗网游帐号木马同流合污!需要了解这个黑色产业链的可以看前面的文章。
Trojan-PSW.Win32.QQPass.pf分析与清除方案
病毒名称:Trojan-PSW.Win32.QQPass.pf
|
2007-06-02 13:10
Autorun病毒kocmbcd.exe分析与专杀中提到的kocmbcd.exe是Virus.Win32.AutoRun.f病毒,并且一直在变异。kocmbcd.exe确实是一个下载者,本身通过移动盘传播或网站挂马传播然后下载其他病毒文件,其它病毒文件又开始下载更多的病毒!并且这些病毒实在是很流行,蛇鼠一窝!
这个Autorun病毒应该是随机七位字母命名的病毒(也有可能是变种,每个人中这样的 |
2007-06-01 21:57
卡巴报tel.xls.exe为Trojan.Win32.Patched.v,与曾经的Trojan.Win32.VB.atg行为是一样的,不过当时为杀此毒而流传的“kill专杀.exe”已经不能完全清理现在的变种了。tel.xls.exe是autorun型的病毒,通过移动盘传播,当时我学校好多人都中了此 |
2007-06-01 12:30
今天是我讲课,细胞分子生物学相关。原来是准备讲生物病毒的,可是这个话题被其他同学拿走了……事先准备的相关资料全部报废。花了3天时间重新准备了讲稿,制作了PPT。我的话题是“原生动物”。
讲得很成功,这也是提问人数最多的话题。我都做了一一解答。不过准备确实不够充足,有些问题我自己也很难答上,一时间提问人数也多,差点乱了阵脚……^ ^!讲课一点也不紧张,虽然后面还有其他老师听课。这是第一次用中文讲课,之前两次是英文(英文是必须的)!
所以这些天超级的忙,病毒分析出来,发布了专杀。也就没 |
2007-05-30 17:44
昨天从流氓怕武术论坛上拿到这个样本kocmbcd.exe,卡巴报Virus.Win32.AutoRun.f。分析了一下,顺便写了个专杀(VBS版),文章最后有专杀下载,请看专杀内的简单说明。这个毒有点猖狂,IFEO劫持了许多安全软件,其他倒没什么。看下面分析:
Virus.Win32.AutoRun.f病毒分析
病毒文件:kocmbcd.exe
病毒MD5:825622ba4d3f910bdf6f97f585290b35
病毒大小:38780 字节
|
2007-05-29 20:12
RootkitRevealer号称检测Rootkit的一种很有效的工具。要躲避这类对付Rootkit的软件,必须拦截这类软件读取注册表配置单元数据或文件系统数据的操作,并更改这些数据的内容。这需要非常高深的技术,我不懂……不过我知道有两种方法可以防止RootkitRevealer的运行,而恶意软件要做到这两点将会非常的容易,不过也许会给自身带来点麻烦……
一、IFEO映像劫持:
在注册表这个位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executio |
2007-05-29 11:47
OnlineGames一直在变异,估计在黑色产业链中扮演很重要的一个角色!将前天遇到的一个很强的新病毒expseny.exe分析了一下,这个变种不是下载者。不过我说它很厉害是因为在前天的木马群中发现其进程是隐藏的,文件在正常模式下是隐藏的,并且一些注册表键值在正常模式下无法查看——也是隐藏的!不过今天看来expseny.exe没表现出这些特征……应该是其他病毒造成的!
expseny.exe就是OnlineGames的新变种 |
2007-05-27 19:00
卡巴不报!病毒文件名为expseny.exe,存在与%temp%下。隐藏进程、隐藏文件(在正常模式下根本看不到)、隐藏注册表键值……由于被其他大量病毒严重干扰,决定提取出这个病毒文件进行单独的分析!下面是这个新病毒的来源分析:
今天在看电影:末代皇帝。用Realplayer看,不一会就弹出N多网页,其中包含病毒文件:Trojan-Downloader.Win32.Delf.bkx与Exploit.Win32.IMG-ANI.a |
|
| 
