扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:温博 来源:赛迪网 2007年10月25日
今天客服的温同学收到一个弹出“我是徐明,不好意思打扰了”的病毒,一看就是学生编写的。有趣的是他好像在找一个叫“莫言英”的女子。病毒的手法和“禽兽”很相似,具体的请看下面做的简单的分析(本分析报告来源于温同学原创)。
病毒的简单分析如下:
病毒添加注册表项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
各个盘符下留下
[AutoRun] open=xuming.exe shellexecute=xuming.exe shell\打开(&O)\command=xuming.exe
病毒释放如下主要文件:
%systemroot%\system32\xuming.exe %systemroot%\system32\dllcache\gnimux.exe %systemroot%\system32\xuming1.vbs %systemroot%\system32\xmreg.reg %systemroot%\system32\pslist.exe %systemroot%\system32\xmhold.bat %systemroot%\system32\istart.bat %systemroot%\xmmsg.vbs %HOMEDRIVE%\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\xuming.exe %systemroot%\system32\myy.txt
修改文件夹选项,截图如下:
病毒会关闭所有Wscript.exe,重新带参数启动自己的脚本。如果发现被关闭的话会重新创建进程,不断ping本地回环地址。从%systemroot%\system32\xuming.exe和%systemroot%\system32\dllcache\gnimux.exe 中复制丢失的文件。关闭任务管理器,如果不隐藏运行,则取当前时间的小时的个位弹出恶作剧代码。
关于恶作剧部分,病毒运行后文件夹会不断闪动是由于病毒将C、D、E盘符下的文件树记录到%systemroot%\system32\myy.txt里面,之后寻找是否有叫“莫言英”的文件或者文件夹,如果有会弹出:“您好,在您的电脑里发现了名为莫言英的文件或文件夹,您是莫言英吗?”如果没有则弹出:“我是徐明,不好意思打扰了。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者