由于zhang63自身被病毒感染,所发布的以下几个程序均被病毒所感染了
DNF 柠檬全功能版本4.4.0自动攻击版 6月22日更新 2010-6-22
大明龙权1.041版 2010-6-22
极光世界0622版 2010-6-22
大唐无双0615会员版 2010-6-20
幸亏版主皈依我佛和扬州小宇哥及时发现,更加值的嘉奖的是皈依我佛版主能以身试毒来警告大家,这种做法是值得我们学习的!
zhang63所感染的是一种老病毒,名字叫:Win32/Huhk.C,中毒后会关闭系统文件保护,并感染C:\WINDOWS\explorer.exe文件,进而导致所有可执行文件被感染.
大家可以把自己的C:\WINDOWS\explorer.exe程序用杀毒软件查杀一下看看是否被感染,或者传到在线扫毒网上看看,地址如下:
还可以使用OD载入C:\WINDOWS\explorer.exe,看看程序入口就知道是否被感染了,如果代码被改成这样,那就是被感染了,代码如下:
0101E24E > $ E8 A6750200 call explorer.010457F9
0101E253 . 83EC 44 sub esp,44
0101E256 . 56 push esi
0101E257 . 57 push edi
0101E258 . 6A 10 push 10
0101E25A . 68 C8E20101 push explorer.0101E2C8
0101E25F . E8 E338FFFF call explorer.01011B47
0101E264 . E8 E8F8FFFF call explorer.0101DB51
0101E269 . 6A 01 push 1
0101E26B . FF15 98100001 call dword ptr ds:[<&KERNEL32.S>
0101E271 . FF15 94100001 call dword ptr ds:[<&KERNEL32.G>
0101E277 . 50 push eax
0101E278 . E8 60000000 call explorer.0101E2DD
0101E27D . 6A 10 push 10
0101E27F . 8BF0 mov esi,eax
0101E281 . 59 pop ecx
0101E282 . 33C0 xor eax,eax
0101E284 . 8D7D C0 lea edi,dword ptr ss:[ebp-40]
0101E287 . F3:AB rep stos dword ptr es:[edi]
0101E289 . 8D45 BC lea eax,dword ptr ss:[ebp-44]
0101E28C . 50 push eax
0101E28D . C745 BC 44000000 mov dword ptr ss:[ebp-44],44
0101E294 . FF15 90100001 call dword ptr ds:[<&KERNEL32.G>
0101E29A . F645 E8 01 test byte ptr ss:[ebp-18],1
0101E29E . 74 22 je short explorer.0101E2C2
目前绝大多数杀软都可以查杀修复此病毒,比如我装的360杀毒就可以修复,下载地址如下:
| 
[复制链接]
发表于 2010-6-23 17:26
发表于 2010-6-23 17:33
