[紧急通知]请下载运行过zhang63发布的程序朋友请进,可能被感染病毒
由于zhang63自身被病毒感染,所发布的以下几个程序均被病毒所感染了DNF 柠檬全功能版本4.4.0自动攻击版 6月22日更新2010-6-22
大明龙权1.041版 2010-6-22
极光世界0622版 2010-6-22
大唐无双0615会员版 2010-6-20
幸亏版主皈依我佛和扬州小宇哥及时发现,更加值的嘉奖的是皈依我佛版主能以身试毒来警告大家,这种做法是值得我们学习的!
zhang63所感染的是一种老病毒,名字叫:Win32/Huhk.C,中毒后会关闭系统文件保护,并感染C:\WINDOWS\explorer.exe文件,进而导致所有可执行文件被感染.
大家可以把自己的C:\WINDOWS\explorer.exe程序用杀毒软件查杀一下看看是否被感染,或者传到在线扫毒网上看看,地址如下:
http://virscan.org
还可以使用OD载入C:\WINDOWS\explorer.exe,看看程序入口就知道是否被感染了,如果代码被改成这样,那就是被感染了,代码如下:
0101E24E > $E8 A6750200 call explorer.010457F9 ;入口点被修改成一个call了
0101E253 .83EC 44 sub esp,44 ;上面的call就会执行感染并还原原始入口点
0101E256 .56 push esi
0101E257 .57 push edi
0101E258 .6A 10 push 10
0101E25A .68 C8E20101 push explorer.0101E2C8 ;ASCII "ExplorerStartup"
0101E25F .E8 E338FFFF call explorer.01011B47
0101E264 .E8 E8F8FFFF call explorer.0101DB51
0101E269 .6A 01 push 1 ; /ErrorMode = SEM_FAILCRITICALERRORS
0101E26B .FF15 98100001 call dword ptr ds:[<&KERNEL32.S>; \SetErrorMode
0101E271 .FF15 94100001 call dword ptr ds:[<&KERNEL32.G>; [GetCommandLineW
0101E277 .50 push eax
0101E278 .E8 60000000 call explorer.0101E2DD
0101E27D .6A 10 push 10
0101E27F .8BF0 mov esi,eax
0101E281 .59 pop ecx
0101E282 .33C0 xor eax,eax
0101E284 .8D7D C0 lea edi,dword ptr ss:
0101E287 .F3:AB rep stos dword ptr es:
0101E289 .8D45 BC lea eax,dword ptr ss:
0101E28C .50 push eax ; /pStartupinfo
0101E28D .C745 BC 44000000 mov dword ptr ss:,44 ; |
0101E294 .FF15 90100001 call dword ptr ds:[<&KERNEL32.G>; \GetStartupInfoW
0101E29A .F645 E8 01 test byte ptr ss:,1
0101E29E .74 22 je short explorer.0101E2C2
目前绝大多数杀软都可以查杀修复此病毒,比如我装的360杀毒就可以修复,下载地址如下:
http://down.360.cn/360sd_se.exe 顶顶顶 帮顶,让更多人看到,及时补救 感谢提醒,称职的版主 支持老大 看看这样的效率 为了大家 回复 5# zhang63
朋友那个DNF 贴 我回复了、要的是源码、 可是不是、没想到这样 额 这病毒怪不错的 什么都可以感染 支持 下版主