[測試]ChristmasImg2007-12.zip 已變種

看板AntiVirus (防毒)作者lcjjaff (回憶憶起回憶)時間17年前 (2007/12/27 13:42)推噓5(5推 0噓 10→)

留言15則, 4人參與討論串1/1

To Blman大師：陸陸續續有人反應無法順利移除，我將無法移除的那些檔案拿來實測結果與Sdum大，的結果有些相異，我想應該是有變種吧～那我將我測試的結果分享一下～看是否有部分無法解毒是這個造成的~~~ 測試開始： ChristmasImg2007-12.zip 解壓縮後裡面是 Christmas-img2156.JPEG.scr 執行這檔案後，所進行的動作：登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登錄檔名稱:MsnLiveMessenger 登錄檔數值:msmsgrs.exe 建立檔案在 C\WINDOWS\msmsgrs.exe 再對所建立的C\WINDOWS\msmsgrs.exe進行測試建立檔案 C\0h00.exe C\WINDOWS\system32\svho.exe 登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 登錄檔名稱:System Service Manager Device 登錄檔數值:svho.exe 登錄檔路徑: HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\RunServices 登錄檔名稱:System Service Manager Device 登錄檔數值:svho.exe 解法的部分，操作上如sdum所說明的icesword的操作把機碼吃掉與檔案刪掉重開機就可以了～或等等有沒有大師，將其寫成批次檔^^ 註1： HKEY_CURRENT_USER\machine 這個machine的key我的電腦裡面沒有，是整個新建立的嗎? 測試樣本：http://kotuha.com/file/Jhiu2-ChristmasImg2007-12.html 密碼:virus -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.63.194

推

blman

12/27 13:59, , 1^F

12/27 13:59, 1^F

→

blman

12/27 13:59, , 2^F

12/27 13:59, 2^F

→

blman

12/27 14:00, , 3^F

12/27 14:00, 3^F

→

lcjjaff

12/27 14:02, , 4^F

12/27 14:02, 4^F

→

lcjjaff

12/27 14:14, , 5^F

12/27 14:14, 5^F

推

SDUM

12/27 14:49, , 6^F

12/27 14:49, 6^F

→

SDUM

12/27 14:50, , 7^F

12/27 14:50, 7^F

→

SDUM

12/27 14:51, , 8^F

12/27 14:51, 8^F

推

SDUM

12/27 16:15, , 9^F

12/27 16:15, 9^F

To Sdum大：感謝解說^^ 樣本測試果然不熟Orz 看了一下跟您之前的解生成的 C:\0h00.exe <--- 其實我忘了對他測試了Orz，應該也有寫入機碼，只是blman大師有刪掉他大概是因為檔案不見了，所已變種有順利刪除了 [取樣本的那台電腦，執行更新後的killvirus-46，可順利刪除] @@a C:\0000a.exe 這個長的不一樣＠＠a ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~:\Local Settings\Temporary Internet Files\Content.IE5\CNRA8I15\000000000000a[1].exe 然後會下載的那個東西我測出來的結果是長這樣，不知道是不是亂數生成的＠＠? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 另外請教：使用EQSysSecure的時候，是不是把防毒軟體(BD)打開，只要BD與EQ都對那個樣本進行控制時，就會直接重新開機Orz 開完以後會出現，系統由嚴重錯誤中修復，是否要回報有點軟╮(╯_╰)╭ 在測試的時候，每次都會出現這問題～所以很懶的測試>"< ※ 編輯: lcjjaff 來自: 140.112.63.194 (12/27 17:47)

推

SDUM

12/27 17:52, , 10^F

12/27 17:52, 10^F

→

SDUM

12/27 17:53, , 11^F

12/27 17:53, 11^F

→

SDUM

12/27 17:54, , 12^F

12/27 17:54, 12^F