诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 1363|回复: 16

又抓到一只通过局域网传播的蠕虫,再次提醒网友加强防护.(转贴)

[复制链接]
发表于 2007-2-1 09:28:07 | 显示全部楼层 |阅读模式
: D' [6 M, P, l, L
0 W5 |) k; I7 P3 T7 r7 J
! {3 [; b& A6 |$ u0 U0 }3 y5 T
0 Q" X' ]. N$ C! Z/ l& Z! c& s
先看看主体的头像.. 好恶心..  Z! A0 n, Q8 h; Y/ q( I$ R4 S  A
; J# T& r( }: O! q
样本编写语言:Borland Delphi 6.0 - 7.0. U- }0 Y, c% d/ [6 g( H
加壳方式:UPX
& c/ ~* D) `: M+ @7 u" z- ]6 m7 {& @5 s) Q- u5 s
好象今天刚出生的"宝宝" 几乎杀软都不报.' \3 T( A" s" s+ a! N0 m/ ?+ q

  j0 m+ e4 p- }' S( p% i病毒运行- [8 C" ^* ~- H- e6 h( z
释放文件
6 w0 H& b, w: l9 ]& V  Y* s8 GC:\WINDOWS\system32\Supervise.exe
; Z, M: X5 {! p$ i  PC:\WINDOWS\system32\Death.SiShen
, ?6 S/ b6 j1 X, ]C:\WINDOWS\system32\Death.exe' g* I! b8 x$ w+ u

0 a. ^$ j1 N# R! m  p6 GC:\WINDOWS\system32\Death.SiShen
# s1 @! |* B2 |. m/ H内容为:  ~( i: r; ~7 m6 \' R: a
[Autorun]/ @- D2 A4 o, K2 f
OPEN=SuperDown.EXE
; T! j4 w- O1 N$ R+ }- Dshellexecute=SuperDown.EXE
3 ]4 [+ K1 Z2 Z. U: k0 Sshell\Auto\command=SuperDown.EXE 2 W/ z% B# c- e% T; p& r
+ R& Y9 w9 Y0 {. _
创建启动项
' u+ y: A$ Q; }  Q- k[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
6 X$ B8 a2 C7 e. G: L0 a"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"' D, g  T. A& K3 n) s* g, O5 m

4 D; c4 e) P# ^9 ~& e% L4 f[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]$ N3 W$ [' G& k% }$ K% n/ ~
"Death.exe"="C:\WINDOWS\system32\Death.exe"! Y/ b: ^4 k% \( W3 e

: h7 I2 M. S" p) U/ _" O: E0 E修改 显示文件和文件夹 注册表
4 V1 }6 O% o: |2 e6 J[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]! d3 `2 A3 M. \# a( b
"checkedvalue"=dword:00000000
* e  G, C4 T+ L4 |' r' k4 t) e% Z
尝试关闭窗口* r' A9 i$ {( m7 x
symantec antivirus 企业版& ~, H2 K( @: {1 k- v
江民杀毒软件 kv2006:实时监视( l1 u6 r" |& I8 J, Y
ravmonclass
; z4 C: i! |+ h! B) V; r  y; ]1 rtflockdownmain; s. i/ v' \4 ~2 h3 |
zonealarm
2 o4 m9 l+ f0 Dzaframewnd0 C9 G: q9 V4 O0 m5 W( k0 T
天网防火墙个人版6 F* b- D; l) B: I
tapplication
( ]: t- u% j( d+ O/ u" }天网防火墙企业版( h9 Z* Y2 F9 z+ }5 Z
tapplication
, x9 N( O& g" D# L! ]1 |  _virusscan
) A& R' b3 n% m- i6 ksymantec antivirus. x5 }; Q$ C% n# k9 z2 V3 _0 s; H
duba
% h( T$ J" A$ V  p% u  O5 Ewrapped gift killer
! |, `4 _! \8 R9 i7 N+ `& Nicesword8 s0 K' c1 C9 F
pjf(ustc)
% Q  Q8 W6 M$ _! Stform1
8 u. h6 O/ y1 C% K  p+ n! K! k+ B噬菌体
' x. P3 Q$ [( ~6 \9 U1 [0 @/ K木马克星% R6 I9 B- _6 g5 m2 D5 C! G8 O% ~$ r

3 W2 T) s( M# P0 `( y尝试关闭进程! S+ K% j* ?4 `" P
eghost.exe
! w+ W& K- V' O5 U/ Nmailmon.exe
  ?) J& c6 L- K! x! q: Vkavpfw.exe6 f# n! V% W/ e; {
iparmor.exe
2 U/ x$ v5 T4 G" i_avp32.exe
- p; T; H, k9 t_avpcc.exe2 U! W/ d3 D0 C' @& |
_avpm.exe8 e* D& V& W) c' e/ d" G1 h2 a/ q
avp32.exe1 Z: n0 K: Y1 Z; c3 C
avpcc.exe
& Q/ L* q2 d, M+ f; Qavpm.exe
9 b, G! v3 `# q7 ^avp.exe% t3 M& O. Y% ]+ [7 g; L0 `
navapw32.exe+ o" [' k8 W! X# O% r8 p( T
navw32.exe8 p8 v7 ~" D7 B& H# U
nod32kui.exe
' s! m+ e* E- J. f5 O9 nnod32kru.exe8 D2 l; [5 _# f
pfw.exe
/ @& w1 {$ ]7 Skfw.exe+ N/ N, A& `5 {8 B, b7 e: A
vsmon.exe% P& J6 R* I' s. J  a
mcshield.exe* f9 a$ ~" v4 L
vstskmgr.exe
; C, U$ b) \7 Unaprdmgr.exe/ ^: r# ?7 O9 h. K* Y! i
updaterui.exe
; ?+ y1 J% Z$ B: Stbmon.exe/ P+ Z) Y! Q0 b' G5 f, C$ P, y
scan32.exe
; T; m3 `5 h4 Z; Jravmond.exe) d9 O9 r/ ^, [, i% f0 f+ Q
ccenter.exe, E& t- J  r, E8 R
ravtask.exe
5 r  E1 b# P  f: c' ^* J- urav.exe
# h% K7 O8 C9 F* M7 T- M3 |1 z+ Mravmon.exe7 A# w* V6 b8 B6 S
ravmond.exe( k* H* {$ H& P# f# x$ f
ravstub.exe! z9 w8 Y9 }6 U6 v* b3 _. ^/ @
kvxp.kxp
! `4 w+ s! N$ s, _% D( ckvmonxp.kxp. ]( w# N& c# p9 z
kvcenter.kxp1 O. S1 J) u6 |( T$ O6 p
kvsrvxp.exe
8 C9 v8 j* U3 W% Qkregex.exe- ?3 ]* J$ z( J- R) [1 Y
uihost.exe
) K; K& S% G" x8 k. N( ltrojdie.kxp
5 s4 G) n5 i( z$ W0 }8 h& {& hfrogagent.exe+ _* H# c( G2 j% M" p2 g
logo1_.exe5 c5 R. G6 Y3 l- h6 G: p
logo_1.exe8 a$ S0 k! }0 Q# B
rundl132.exe2 c. w- f- L) Y# T/ f- w1 I7 D
death.exe (说明:自身副本)/ J) Z% \* h1 N, Y! C

. m, |; A- C& z" ?! I- m! `搜索感染除系统盘以外的 .exe/.scr 文件./ ~+ r" h8 @# F9 ~  l8 A
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.; K7 c' K* V2 v' m$ u  R& R) e

6 k, ^% n7 ~" i# [2 F0 F2 `同样通过区域网传播(death.exe)3 |, \8 e* J$ o- f6 ~

9 ?. r) G2 Y$ {6 Y还删除了一个注册表,测试时候没删除.' n0 P: H0 b) |( b# K3 L7 o
software\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版( R; R% \6 o( D+ H) c
9 I6 K: T# W  Z; ?' x2 N- Z

5 m) O. b+ g. i3 r请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒.." x; B" W+ g  P' \6 x/ H$ O# l
8 W! N/ S$ Q! z3 Y: ]
熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..
) ?4 @" t3 D* T: W, C! `  Q8 p& P' F: ~
用猫叔的话说:防毒胜于杀毒
发表于 2007-2-1 09:43:18 | 显示全部楼层
毒毒毒...............
  }- M+ O( X/ K0 }8 ~
( O& c7 X( x3 s4 j: v0 p- Y& O5 I$ Q8 B* Q1 E. D6 Q
  我恨..............
1 S9 O! x0 _# g- [0 m2 e6 H" V$ p
8 C. e3 \# B$ l* a$ U1 F   早上又杀了三个.........:loveliness:
 楼主| 发表于 2007-2-1 10:03:50 | 显示全部楼层
呵呵,杀毒是永无止境的
发表于 2007-2-1 10:46:51 | 显示全部楼层
灯泡男子
发表于 2007-2-1 10:49:10 | 显示全部楼层
原帖由 断孓dě弦 于 2007-2-1 10:46 发表$ A. d! K! m6 Y( j' y& U6 ^
灯泡男子
/ {. k! V0 t* }! ?! v1 k
7 O$ R% [2 X4 X- B: }( F
& Q) g  ^# ]8 Q' X. R' i
' u+ O6 o$ m  I7 @8 n
   什么意思啊????:m15
 楼主| 发表于 2007-2-1 11:00:49 | 显示全部楼层
关于灯泡男子病毒的我上次已经发过一次贴,这次的是不是他的变种就不得知了
发表于 2007-2-1 15:49:25 | 显示全部楼层
防毒胜于杀毒/ m7 h# i  B6 ?0 f

& z6 p+ m( }' x% d. Z2 c:loveliness:
 楼主| 发表于 2007-2-1 16:17:54 | 显示全部楼层
可以理解,我就这样,我最懒的就是开杀毒软件杀毒了,慢的半死
发表于 2007-2-1 16:26:13 | 显示全部楼层
今天早上一起来IE打不开,我的电脑,控制面版都打不开。。用了系统还原,后来下了个熊猫专杀,想不到还真是中了这个。。。。
 楼主| 发表于 2007-2-1 16:30:05 | 显示全部楼层
这个不是熊猫病毒哦,你如果中熊猫病毒要去安全模式下杀会比较干净
发表于 2007-2-2 01:48:22 | 显示全部楼层
呼呼..
2 l( v6 o& O+ @$ @+ d. p6 f到处都是毒,,,把电脑砸了算了..
: H& l4 ^" F% D% ?@$#^!%$@....
发表于 2007-2-2 01:48:55 | 显示全部楼层
真恶心
发表于 2007-2-2 01:49:46 | 显示全部楼层
:m15 5 ^8 Y: ]& n6 ?8 w- C

* f) ]+ ]# p( ^虾米很恶心!?
发表于 2007-2-2 01:50:12 | 显示全部楼层
那头像..
发表于 2007-2-2 01:51:15 | 显示全部楼层
= =!!!7 L7 x2 A) r6 f4 |7 ]* @

; i" O1 @. m: R0 H; s不说还以为是什么游戏类..
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-12-23 08:11 , Processed in 0.053025 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表