0
2008/12/03 
21:13 
8
到现在呆的地方以来从来不喜欢逛街买东西,所以导致我买什么都首先想到网络,淘宝。一是因为网络上可买到在当地买不到的东西,比如书了,我想要的书基本在这都找不到,衣服,吃的,用的,手机数码什么的都买过了,好像都还算满意的,当然也不缺乏个人认为很好的,比如前些日子买的枕头,因为睡起来比较舒服,价格也公道,呵呵,当然也有网购的乐趣在了,要说这乐趣在那,自己买着体会吧。
因为需要要在淘宝买一二手笔记本,虽然大价钱的东西也买过好几次了,但是二手的东西还是第一次,何况还是猫腻最多的电子产品,更是要相当注意了,看了好几天,终于瞅中一台东芝只在日本发售的的本子,跟卖家谈好一切考虑到的问题后拍下付款。四天后在单位收发室拿到货,给领导打声招呼就回房子验货,开箱的结果很令人满意,本子跟描述的一样,几乎是全新的,因为还有令我烦恼的问题,当时也忘了拍了PP,所以现在没的图图给大家看,呵呵。
检查了下外围和配置方面还算不错,打开机器电源测试,速度很不错,内存硬盘什么的在容量也没什么猫腻,没想到的事情发生了,大约过了有5分钟,机子的速度突然慢了下来,检查了下系统貌似有病毒的样子,好像在当初看买家评论的时候好像也有人说病毒多的问题,于是二话不说重装,驱动先备份了下来,虽然手上的驱动盘还没出现过搞不定的,但是笔记本例外。GHSOT系统无法安装,不能正常出现ghost页面,并且所有光盘版的ghost都无法正常运行,首先想到是刻碟的速度高于光驱支持的速度了,于是刻了张低倍速的,还是不成,最后只好拿出深度的精简版了,那个速度快点。可安装版本的速度也不尽人意,复制文件复制了半天,整个系统我在自己512内存的台式机上15分钟装完的系统在本子上用了接近一个小时,见到此情景我最先想到的是发热问题和硬盘问题,摸了下机子下面确实很热,后来我在下面两边垫了书运行还是那样,最后拿出软件检测硬盘,虽然没检测到坏道但是运行时间是六位数,我在本机用软件检测是四位数,根据我使用的时间软件显示的应该是小时,那这硬盘使用时间也未免太长了吧,一算之下都15年了,晕死,15年之前估计没120G的硬盘吧,后来又用另外一软件查看,但是无法查看到任何信息,但是在我机器上正常检测,检测到的时间跟上个软件是一样的,这下我抛弃了所有的想法,认定是硬盘老化,于是马上联系卖家,告知一切信息后,经过多次的交流,最后尝试卖家给的方法还是不能解决,最后商议退货。
第二天中午下班就打包装去邮局,没想到邮局人家不让发,可来的时候都是EMS,草了,不知道这的这帮SB什么原因。小地方就这样,一个个的狗仗人势,什么鼓点都出,最烦这个了,NND。无奈只好又联系卖家更换硬盘,最后一算时间太长只好商议我发硬盘过去,他们退我300买块硬盘自己装,一个是我没确认,另外一个是卖家也确实不错,最后成功。第二天周末,一早就坐车去兰州,因为电脑是要送去兰州的,所以直接去那换了,那货源充足。
因为需要要在淘宝买一二手笔记本,虽然大价钱的东西也买过好几次了,但是二手的东西还是第一次,何况还是猫腻最多的电子产品,更是要相当注意了,看了好几天,终于瞅中一台东芝只在日本发售的的本子,跟卖家谈好一切考虑到的问题后拍下付款。四天后在单位收发室拿到货,给领导打声招呼就回房子验货,开箱的结果很令人满意,本子跟描述的一样,几乎是全新的,因为还有令我烦恼的问题,当时也忘了拍了PP,所以现在没的图图给大家看,呵呵。
检查了下外围和配置方面还算不错,打开机器电源测试,速度很不错,内存硬盘什么的在容量也没什么猫腻,没想到的事情发生了,大约过了有5分钟,机子的速度突然慢了下来,检查了下系统貌似有病毒的样子,好像在当初看买家评论的时候好像也有人说病毒多的问题,于是二话不说重装,驱动先备份了下来,虽然手上的驱动盘还没出现过搞不定的,但是笔记本例外。GHSOT系统无法安装,不能正常出现ghost页面,并且所有光盘版的ghost都无法正常运行,首先想到是刻碟的速度高于光驱支持的速度了,于是刻了张低倍速的,还是不成,最后只好拿出深度的精简版了,那个速度快点。可安装版本的速度也不尽人意,复制文件复制了半天,整个系统我在自己512内存的台式机上15分钟装完的系统在本子上用了接近一个小时,见到此情景我最先想到的是发热问题和硬盘问题,摸了下机子下面确实很热,后来我在下面两边垫了书运行还是那样,最后拿出软件检测硬盘,虽然没检测到坏道但是运行时间是六位数,我在本机用软件检测是四位数,根据我使用的时间软件显示的应该是小时,那这硬盘使用时间也未免太长了吧,一算之下都15年了,晕死,15年之前估计没120G的硬盘吧,后来又用另外一软件查看,但是无法查看到任何信息,但是在我机器上正常检测,检测到的时间跟上个软件是一样的,这下我抛弃了所有的想法,认定是硬盘老化,于是马上联系卖家,告知一切信息后,经过多次的交流,最后尝试卖家给的方法还是不能解决,最后商议退货。
第二天中午下班就打包装去邮局,没想到邮局人家不让发,可来的时候都是EMS,草了,不知道这的这帮SB什么原因。小地方就这样,一个个的狗仗人势,什么鼓点都出,最烦这个了,NND。无奈只好又联系卖家更换硬盘,最后一算时间太长只好商议我发硬盘过去,他们退我300买块硬盘自己装,一个是我没确认,另外一个是卖家也确实不错,最后成功。第二天周末,一早就坐车去兰州,因为电脑是要送去兰州的,所以直接去那换了,那货源充足。
这是一个结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行,并且预计该病毒在近期会成泛滥之势,希望大家注意!
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
病毒名称:Worm.Win32.AutoRun.dbp
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
好多次碰到下载rar等的压缩包下载不完,最后尝试数次不能下载,最后也没想过要修复提取什么的,某天泡网看到一方法,下面收录了放出来,希望能帮到其他的朋友,嘎嘎。
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
