好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2010-6-23 17:26
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
由于zhang63自身被病毒感染,所发布的以下几个程序均被病毒所感染了
DNF 柠檬全功能版本4.4.0自动攻击版 6月22日更新 2010-6-22
大明龙权1.041版 2010-6-22
极光世界0622版 2010-6-22
大唐无双0615会员版 2010-6-20
幸亏版主皈依我佛和扬州小宇哥及时发现,更加值的嘉奖的是皈依我佛版主能以身试毒来警告大家,这种做法是值得我们学习的!
zhang63所感染的是一种老病毒,名字叫:Win32/Huhk.C,中毒后会关闭系统文件保护,并感染C:\WINDOWS\explorer.exe文件,进而导致所有可执行文件被感染.
大家可以把自己的C:\WINDOWS\explorer.exe程序用杀毒软件查杀一下看看是否被感染,或者传到在线扫毒网上看看,地址如下:
还可以使用OD载入C:\WINDOWS\explorer.exe,看看程序入口就知道是否被感染了,如果代码被改成这样,那就是被感染了,代码如下:
0101E24E > $ E8 A6750200 call explorer.010457F9 ; 入口点被修改成一个call了
0101E253 . 83EC 44 sub esp,44 ; 上面的call就会执行感染并还原原始入口点
0101E256 . 56 push esi
0101E257 . 57 push edi
0101E258 . 6A 10 push 10
0101E25A . 68 C8E20101 push explorer.0101E2C8 ; ASCII "ExplorerStartup"
0101E25F . E8 E338FFFF call explorer.01011B47
0101E264 . E8 E8F8FFFF call explorer.0101DB51
0101E269 . 6A 01 push 1 ; /ErrorMode = SEM_FAILCRITICALERRORS
0101E26B . FF15 98100001 call dword ptr ds:[<&KERNEL32.S>; \SetErrorMode
0101E271 . FF15 94100001 call dword ptr ds:[<&KERNEL32.G>; [GetCommandLineW
0101E277 . 50 push eax
0101E278 . E8 60000000 call explorer.0101E2DD
0101E27D . 6A 10 push 10
0101E27F . 8BF0 mov esi,eax
0101E281 . 59 pop ecx
0101E282 . 33C0 xor eax,eax
0101E284 . 8D7D C0 lea edi,dword ptr ss:[ebp-40]
0101E287 . F3:AB rep stos dword ptr es:[edi]
0101E289 . 8D45 BC lea eax,dword ptr ss:[ebp-44]
0101E28C . 50 push eax ; /pStartupinfo
0101E28D . C745 BC 44000000 mov dword ptr ss:[ebp-44],44 ; |
0101E294 . FF15 90100001 call dword ptr ds:[<&KERNEL32.G>; \GetStartupInfoW
0101E29A . F645 E8 01 test byte ptr ss:[ebp-18],1
0101E29E . 74 22 je short explorer.0101E2C2
目前绝大多数杀软都可以查杀修复此病毒,比如我装的360杀毒就可以修复,下载地址如下:
http://down.360.cn/360sd_se.exe
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2010-6-23 17:33
