科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道良性病毒借传播发寻人启事

良性病毒借传播发寻人启事

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天客服的温同学收到一个弹出“我是徐明,不好意思打扰了”的病毒,一看就是学生编写的。病毒的手法和“禽兽”很相似,具体的请看下面做的简单的分析.

作者:温博 来源:赛迪网 2007年10月25日

关键字: “禽兽” dllcache shellexecute 文件夹选项 病毒预报 systemroot

  • 评论
  • 分享微博
  • 分享邮件

  今天客服的温同学收到一个弹出“我是徐明,不好意思打扰了”的病毒,一看就是学生编写的。有趣的是他好像在找一个叫“莫言英”的女子。病毒的手法和“禽兽”很相似,具体的请看下面做的简单的分析(本分析报告来源于温同学原创)。

  病毒的简单分析如下:

  病毒添加注册表项目:

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] []

  各个盘符下留下

  [AutoRun] open=xuming.exe shellexecute=xuming.exe shell\打开(&O)\command=xuming.exe

  病毒释放如下主要文件:

  %systemroot%\system32\xuming.exe %systemroot%\system32\dllcache\gnimux.exe %systemroot%\system32\xuming1.vbs %systemroot%\system32\xmreg.reg %systemroot%\system32\pslist.exe %systemroot%\system32\xmhold.bat %systemroot%\system32\istart.bat %systemroot%\xmmsg.vbs %HOMEDRIVE%\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\xuming.exe %systemroot%\system32\myy.txt

  修改文件夹选项,截图如下:

  

  

  病毒会关闭所有Wscript.exe,重新带参数启动自己的脚本。如果发现被关闭的话会重新创建进程,不断ping本地回环地址。从%systemroot%\system32\xuming.exe和%systemroot%\system32\dllcache\gnimux.exe 中复制丢失的文件。关闭任务管理器,如果不隐藏运行,则取当前时间的小时的个位弹出恶作剧代码。

  关于恶作剧部分,病毒运行后文件夹会不断闪动是由于病毒将C、D、E盘符下的文件树记录到%systemroot%\system32\myy.txt里面,之后寻找是否有叫“莫言英”的文件或者文件夹,如果有会弹出:“您好,在您的电脑里发现了名为莫言英的文件或文件夹,您是莫言英吗?”如果没有则弹出:“我是徐明,不好意思打扰了。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章