这种问题在我们学校的电脑也遇到过,因为我们班的电脑被我装了WIN7系统,这个病毒根本没法用,直接就给删了
11134
%7B%22isLastPage%22%3Atrue%2C%22notes%22%3A%5B%5D%2C%22pid%22%3A%22t11134%22%2C%22tid%22%3A%2211134%22%2C%22mainForumsId%22%3A%5B%22134%22%5D%2C%22categoriesId%22%3A%5B%5D%2C%22tcId%22%3A%5B%5D%7D
%7B%22isEditMode%22%3Afalse%7D
解剖一个U盘病毒~
某人拿一U盘给我看,发现了个很诡异的东西~
![1.jpg]()
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
![2.jpg]()
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
![3.jpg]()
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
![4.jpg]()
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
正因为如此....我为了避开这种病毒.我打开所有的盘...我都习惯用右键打开....
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
这个病毒的窗体怎么这么弱智.并且不做免杀也不加壳,连个插花都没有.估计是整人软件吧
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
估计是哪个粗通VB的学生,存一大堆乱字符估计是想吓唬人
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
怪就怪在这个窗体本来是不显示的,我改了Visible属性后才显示。所有Label控件里的文字都可能在你和别人用QQ聊天时突然发送给对方...实在很囧...
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
Label估计是存字符用的。。。 窗体应该是为了编程时候方便 可以用眼睛看见的TForm比TThread要简单的多。。。
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
我会直接用model。。。.NET普及的话直接用线程。。
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
用到 XXXXXXXXXXf 来起动的都不是什么有水平的了
反正就是这个样 就是只会下载哪些生成器
合个垃圾出来吓吓文盲
不过~~~~~是想当浪费我们的时间
反正就是这个样 就是只会下载哪些生成器
合个垃圾出来吓吓文盲
不过~~~~~是想当浪费我们的时间
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
12000KCB!!!!!!!!!!!!
93送钱了!大家快灌水!!!!!!!
啊啊啊啊啊啊!!!啊啊啊啊啊啊啊啊啊啊啊啊啊!!!!!!!!!
93送钱了!大家快灌水!!!!!!!
啊啊啊啊啊啊!!!啊啊啊啊啊啊啊啊啊啊啊啊啊!!!!!!!!!
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
我
第一:禁止了.自动运行..
第二:封锁了注册表
第三:在主策略里禁止了很多东西
第四:平时不用系统管理员帐户
第六:勤打补丁
第七:不上有"病虫害"的网站
所以就算没有杀毒软件.一般病毒也拿我没办法
第一:禁止了.自动运行..
第二:封锁了注册表
第三:在主策略里禁止了很多东西
第四:平时不用系统管理员帐户
第六:勤打补丁
第七:不上有"病虫害"的网站
所以就算没有杀毒软件.一般病毒也拿我没办法
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
做这毒的八成是想让你解析。。
引用
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
ldc
学者 机友 笔友
学者 机友 笔友
200字以内,仅用于支线交流,主线讨论请采用回复功能。