[讨论]转发个病毒给大家来一起研究下
议题作者:徘徊于世信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
这 个病毒 我在网吧 测试了下,已经解决杀除方法。根本不向作者说的那样 “棺材办法,重作系统吧。” [s:267] 谁丢个脱壳的版本上来撒...这个版本带了套子 ESP定律搞定后送ASM了,呵呵。
因是病毒文件,我就没做优化和运行测试了。
Microsoft Visual Basic 5.0 / 6.0 [PEID v0.94]
[quote]超级字串参考
地址 反汇编 文本字串
00401099 MOV DWORD PTR SS:[EBP+73],MSVBVM60._adj_ P哙%8
004012A0 PUSH Rabbit.00407824 (Initial CPU selection)
0040839F MOV DWORD PTR SS:[EBP-110],Rabbit.00407F CUSTOM
004084AB PUSH Rabbit.00407F5C C:\WINDOWS\system32\loveRabbit.exe
004087E8 PUSH Rabbit.00407FD4 \
00408829 MOV DWORD PTR SS:[EBP-100],Rabbit.00407F \
00408999 MOV DWORD PTR SS:[EBP-110],Rabbit.00407F .exe
00408A50 PUSH Rabbit.00407FEC C:\WINDOWS\system32\Rabbit.exe
00408A7A PUSH Rabbit.00408030 C:\WINDOWS\system32\TZ.bat
00408B48 PUSH Rabbit.00408084 C:\WINDOWS\system32\LOVETZ.bat
00408C16 MOV DWORD PTR SS:[EBP-100],Rabbit.004080 C:\WINDOWS\system32\TZ.bat
00408C5B MOV DWORD PTR SS:[EBP-100],Rabbit.00407F C:\WINDOWS\system32\loveRabbit.exe[/quote]
看起来也许还会生个宝宝似的
C:\WINDOWS\system32\loveRabbit.exe
建立.bat文件。
应该不难搞定的,为了不影响机器的和谐就不看(敢情自己也是分析不完全的)。
ps: - -!不能上传附件!
页:
[1]