|
阅读:3604回复:5
UcHelp 病毒分析 By Cater
解压密码:24882688
UcHelp 病毒分析 By Cater 旁白: 都大二了,还是无所为,不知道以后工作怎么办哦~苦恼... 烦人事一大堆,最近学校机房病毒泛滥,主要就是 UcHelp 病毒 /////////////////////////////////////////////////////////// 主要就是 移动存储器里面有 =========================== X:\RECYCLER\UcHelp.exe X:\RECYCLER\desktop.ini X:\autorun.inf ----------------------- X:\autorun.inf 正常情况下不可见 X:\RECYCLER\ 不能正常访问 ----------------------- =========================== +++++++++++++++++++++++++++++++++++++++++++++ Explorer 中自动加载 system32\AceExt32.dll windows\Downloaded Program Files\ZipExt32.dll +++++++++++++++++++++++++++++++++++++++++++++ 当然 ,病毒会感染所有移动存储设备,并加载到系统自动运行,继续传播感染其他及其和移动存 储设备。 /////////////////////////////////////////////////////////// 程序没有修改注册表隐藏文件?病毒清理不干净~ so 只好硬着头皮来分析分析这个病毒啦~(还不知道往上面有没有关于这个病毒的分析) 废话这么多,就看看我的分析吧~ Cater [*.S.T] QQ:24882688 2007.06.01 扬州/南京 写 顺便说下:Xyzreg 的注册表 restorekey 方式过 HIPS RD 也应用到里面了~ 唉~ 不过还是想 xyzreg 放免杀程式~ |
|
|
|
沙发#
发布于:2007-06-03 14:04
看了一下,隐藏autorun.inf 是用的ring3 hook,IceSword下可以看到的~
唉,看来以后还是不公布有些技术了,免得害人,折寿。阿弥陀佛…… |
|
|
板凳#
发布于:2007-06-03 19:23
8行8行,xyz大牛不公布点技术,我们这些小菜可怎么进步!
gyzy老兄在黑防上赚了不少稿费,怎么xyz老大不投点稿,期待呀...... |
|
|
|
地板#
发布于:2007-06-03 19:35
引用第2楼ljh1021于2007-06-03 19:23发表的 : 我2004年时经常给黑防投稿,不过现在懒啦,已经2年没激情写文章投啦~ |
|
|
地下室#
发布于:2007-06-03 21:22
引用第1楼xyzreg于2007-06-03 14:04发表的 : AceExt32.dll 里面 Hook 这个我知道 但是,貌似我用 sword 没有 瞟到 Hook 的地方.......... 呵呵,还有就是 xyzreg 大虾放 免杀的那个 xx....... |
|
|
5楼#
发布于:2007-06-13 17:49
引用第3楼xyzreg于2007-06-03 19:35发表的 : 笔头也停辍了哈? |
|