Windows LiveWindows Live
 
 
do i do 的个人资料郁闷的肚肚照片日志列表更多 工具 帮助

日志
    2007/7/31

    通过MSN传播IRC病毒解决方案

    最近人比较懒,除了会在一些中毒的好友电脑上提一些样本之外,别的分析工作都搁置了。
    昨天爆发的通过MSN传播的病毒的技术分析请访问我们的C.I.S.R.T论坛,分析报告由海色の月编写
    技术分析连接:
     
     
    8:54 | 添加评论 | 固定链接 | 写入日志 | 病毒清除档案
    2006/2/28

    一个QQ小尾巴病毒

    刚刚从XXERT2006(我,小月,小陌和狮子自己取的傻名字)成员小月那拿来一个小毒。
     
    呵呵,正好下午事情不多,就趁下班前玩了一下。
    病毒名是ray.exe,是一个QQ尾巴病毒。中毒后会在QQ聊天窗口中自动输入一句话然后发送给好友。
    从症状来看和一般的QQ尾巴病毒没有太大差异。
    在我的虚拟机里跑了一下(98系统),这小东西在98下运行存在一些小BUG,无法正常驻入内存。
    不过病毒还是运行了一下,
    在%windir%目录下生成NiW.exe(16KB);
    在%windir%\system\目录下生成impai.exe(16KB);
    在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run生成“c:\windows\NIW.exe,以达到自启动目的。
     
    好了,这毒就这样子,用小月的话说就是“秒杀”。呵呵很简单的马马。
    打算有时间的时候给VM装一个Windows 2000的环境,现在大部分用户都在用xp了,在虚拟机里装xp估计我的电脑会吃不消,所以装个2000,理论上2000和XP的环境差不多。
    16:38 | 添加评论 | 阅读评论 (3) | 固定链接 | 写入日志 | 病毒清除档案
    2005/7/31

    www.joyex.com病毒的清除

    网页地址:www.joyiex.com/520.exe
    被下载文件大小:20.8Kb(24,576字节)
    病毒运行后会有以下动作:
    关闭金山网镖,金山木马专杀,卡巴斯基等反病毒软件及网络防火墙。

    会在MSN,QQ等聊天窗口中自动发送如下信息:

    很感人的动画,我看的都流眼泪了hp://www.joyiex.com/abc.exe

    我QQ在挂机,免费的很安全,你也快来吧hp://www.joyiex.com/love.htm

    刚从视频聊天室里录下来的,不用我说了,自己看吧hp://www.joyiex.com/520.exe
    生成以下文件:
    在%windows%下生成SVOHOST.EXE 文件大小:21KB(21,359字节)
    在%system%下生成command.exe 文件大小21KB(21,359字节),lsasa.exe 文件大小21KB(21,359字节)


    生成以下注册表项:
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\ScamDisk

    "ScamDisk"="C:\windows\SVOHOST.exe" (设置注册表启动项,以达到病毒随系统启动的目的)


    修改以下注册表项:
    HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page "Start
    Page"="http://www.joyiex.com"  (修改IE默认主页为病毒网页)

     

    HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage

     "HomePage"="1" (禁止用户修改默认主页)

     

    HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command\

    "@"="C:\WINDOWS\SYSTEM\lsasa.exe "%1""  (当打开TXT文本文件时也会激活病毒)

     

    HKEY_CLASSES_ROOT\txtfile\shell\open\command "默认"="C:\windows\system32\lsasa.exe\ %1" (当打开TXT文本文件时也会激活病毒)

     

    *如果系统为2000,xp病毒还会修改:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
    "DisableTaskMgr"="1"(禁止用户使用任务管理器)

     

    手工清除方法:
    推荐用户使用以下工具进行修复:System Repair Engineer 1.1.0.269 正式版
    (下载地址:http://www.kztechs.com/)用于删除病毒添加的注册表项、恢复IE的主页设置以及修复TXT的文件关联等。
    在清除病毒前需要先中止病毒进程。推荐使用Process Explorere。中止运行病毒文件SVOHOST.exe然后按以下步骤操作:
    1.打开System Repair Engineer在左侧窗口中点击“启动项目”然后在右侧窗口找到病毒键值选中后点“删除”如图
    2.点击“系统修复”修复txt文本文件的打开方式。如图
    3.使用金山木马专杀中的系统修复功能修复IE主页。也可以用该程序删除病毒生成的注册表启动项。
    4.在开始->运行中键入regedit运行注册表编辑器。删除HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
    "HomePage"="1"
    *如果系统为2000或是xp,还需修改:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
    "DisableTaskMgr" = "1"改为"DisableTaskMgr" = "0"
    5.删除在%windows%下的SVOHOST.EXE
    删除在%system%下生成command.exe ,lsasa.exe

    注:鉴于该病毒作者不断在修改病毒,所以此分析文档中所述内容可能于你中毒情况有所不同。

    此病毒样本下载于2005.7.31 15:30

    18:14 | 添加评论 | 阅读评论 (1) | 固定链接 | 写入日志 | 病毒清除档案