[原创]岁末年终遇病毒,熊猫烧香祝新年-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]岁末年终遇病毒,熊猫烧香祝新年

发表于: 2006-12-31 00:07 12583

[原创]岁末年终遇病毒,熊猫烧香祝新年

Fahrenheit 活跃值

2006-12-31 00:07

12583

今天在机房的机器上使用U盘，插上去，打开，U盘里出现了一个隐藏的熊猫图标的可执行文件setup.exe和另一个名为autorun.inf的文件，我猜可能是病毒。在尝试了几次要删除两者都已失败而告终后，我确定了这是一个病毒。

随后，我将我U盘格式化了。由于机房的机器安装有还原卡，在将机房的机器重启后，C盘被还原，病毒没有被激活，虽然D盘有病毒的安装文件setup.exe，但由于没有安装，所以没有被感染。我试着用C32Asm反汇编了病毒的setup.exe的文件，并用自己写的文件分析器分析了该文件，得到以下的一些数据。反汇编代码由于太多，放在附件里了。

The Programme setup.exe Is An Exeactuable File !

+++++++++++++++++ FILE HEADER IMFORMATION ++++++++++++++++++++++++++++++++

               Machine                   014C
      NumberOfSections                   0008
         TimeDateStamp             2A425E19
   PointerToSymbolTable             00000000
      NumberOfSymbols             00000000
   SizeOfOptionalHeader                   00E0
      Characteristics                   818E

Brief Tips :
----> 1. Runs At The Environment Of 32-Bit Machine.
----> 2. Contains 8 Sections.
----> 3. Created Time : 2A425E19
----> 4. OptionalHeader Size Is 224(dec) Bytes.

FILE HEADER Features : EXECUTABLE,  32BIT_MACHINE,

+++++++++++++++++ OPTIONAL HEADER IMFORMATION ++++++++++++++++++++++++++++

   AddressOfEntryPoint       0000CDAE
            ImageBase       00400000
            SizeOfImage       00014000
            SizeOfCode       00000000
            BaseOfCode       00001000
            BaseOfData       0000D000
            Subsystem       00000002
               CheckSum       00000000
   MajorLinkerVersion       00000002
      MajorImageVersion       00000000
MajorSubsystemVersion       00000004
      SectionAlignment       00001000
         SizeOfHeaders       00000400
   DllCharacteristics       00000000
         FileAlignment       00000200
   SizeOfDataDirectory       00000010
AddressOfDataDirectory       0048A824

-----> DataDirectory :

         Item          RVA          Size
---------------------------------------------------------------------
Export Table       00000000       00000000
Import Table       0000F000       00000C68
      Resource       00013000       00000A00
   Exception       00000000       00000000
      Security       00000000       00000000
   Relocation       00012000       00000AA4
         Debug       00000000       00000000
   Copyright       00000000       00000000
   GlobalPtr       00000000       00000000
   Tls Table       00011000       00000018
   Load Config       00000000       00000000
         IAT       00000000       00000000
Bound Import       00000000       00000000
         COM       00000000       00000000
Delay Import       00000000       00000000
      No Use       00000000       0

SubSystem(User Interface) Features :  WINDOWS_GUI_SUBSYSTEM.

++++++++++++++++++ SECTION HEADER IMFORMATION +++++++++++++++++++++++++

-> 8 Sections Contained !

   Name    VOffset    VSize    ROffset    RSize    Flags
-----------------------------------------------------------------------
.MaskPE 00001000 0000BDD6 00000400 0000BE00 60000020
   DATA 0000D000 000002C0 0000C200 00000400 C0000040
   BSS 0000E000 000007DD 0000C600 00000000 C0000000
.idata 0000F000 00000C68 0000C600 00000E00 C0000040
   .tls 00010000 00000008 0000D400 00000000 C0000000
.rdata 00011000 00000018 0000D400 00000200 50000040
.reloc 00012000 00000AA8 0000D600 00000C00 50000040
   .rsrc 00013000 00000A00 0000E200 00000A00 50000040

.MaskPE Segment Features : CODE Included,  EXECUTABLE,  READABLE,
DATA Segment Features : INITIALIZED_DATA Included,  READABLE,  WRITABLE,
   BSS Segment Features : READABLE,  WRITABLE,
  .idata Segment Features : INITIALIZED_DATA Included,  READABLE,  WRITABLE,
.tls Segment Features : READABLE,  WRITABLE,
  .rdata Segment Features : INITIALIZED_DATA Included,  DATA_SHARED,  READABLE,
  .reloc Segment Features : INITIALIZED_DATA Included,  DATA_SHARED,  READABLE,
.rsrc Segment Features : INITIALIZED_DATA Included,  DATA_SHARED,  READABLE,

++++++++++++++++++++++++++ Export Table Information +++++++++++++++++++++

-> No Export Table !

++++++++++++++++++++++++++ Import Table Information +++++++++++++++++++++

------------------------------------------------------------------------

            Name 0000F358    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F12C
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : kernel32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F12C       0000F366       0000    DeleteCriticalSection
      0000F130       0000F37E       0000       LeaveCriticalSection
      0000F134       0000F396       0000       EnterCriticalSection
      0000F138       0000F3AE       0000 InitializeCriticalSection
      0000F13C       0000F3CA       0000                VirtualFree
      0000F140       0000F3D8       0000             VirtualAlloc
      0000F144       0000F3E8       0000                LocalFree
      0000F148       0000F3F4       0000                LocalAlloc
      0000F14C       0000F402       0000             GetTickCount
      0000F150       0000F412       0000    QueryPerformanceCounter
      0000F154       0000F42C       0000                GetVersion
      0000F158       0000F43A       0000       GetCurrentThreadId
      0000F15C       0000F450       0000       WideCharToMultiByte
      0000F160       0000F466       0000       MultiByteToWideChar
      0000F164       0000F47C       0000          GetThreadLocale
      0000F168       0000F48E       0000          GetStartupInfoA
      0000F16C       0000F4A0       0000       GetModuleFileNameA
      0000F170       0000F4B6       0000             GetLocaleInfoA
      0000F174       0000F4C8       0000             GetLastError
      0000F178       0000F4D8       0000          GetCommandLineA
      0000F17C       0000F4EA       0000                FreeLibrary
      0000F180       0000F4F8       0000                ExitProcess
      0000F184       0000F506       0000             CreateThread
      0000F188       0000F516       0000                WriteFile
      0000F18C       0000F522       0000 UnhandledExceptionFilter
      0000F190       0000F53E       0000             SetFilePointer
      0000F194       0000F550       0000             SetEndOfFile
      0000F198       0000F560       0000                RtlUnwind
      0000F19C       0000F56C       0000                   ReadFile
      0000F1A0       0000F578       0000             RaiseException
      0000F1A4       0000F58A       0000             GetStdHandle
      0000F1A8       0000F59A       0000                GetFileSize
      0000F1AC       0000F5A8       0000                GetFileType
      0000F1B0       0000F5B6       0000                CreateFileA
      0000F1B4       0000F5C4       0000                CloseHandle

------------------------------------------------------------------------

            Name 0000F5D2    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F1BC
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : user32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F1BC       0000F5DE       0000          GetKeyboardType
      0000F1C0       0000F5F0       0000                MessageBoxA
      0000F1C4       0000F5FE       0000                CharNextA

------------------------------------------------------------------------

            Name 0000F60A    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F1CC
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : advapi32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F1CC       0000F618       0000          RegQueryValueExA
      0000F1D0       0000F62C       0000             RegOpenKeyExA
      0000F1D4       0000F63C       0000                RegCloseKey

------------------------------------------------------------------------

            Name 0000F64A    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F1DC
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : oleaut32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F1DC       0000F658       0000             SysFreeString
      0000F1E0       0000F668       0000          SysAllocStringLen

------------------------------------------------------------------------

            Name 0000F67C    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F1E8
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : kernel32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F1E8       0000F68A       0000                TlsSetValue
      0000F1EC       0000F698       0000                TlsGetValue
      0000F1F0       0000F6A6       0000                LocalAlloc
      0000F1F4       0000F6B4       0000          GetModuleHandleA

------------------------------------------------------------------------

            Name 0000F6C8    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F1FC
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : advapi32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F1FC       0000F6D6       0000             RegSetValueExA
      0000F200       0000F6E8       0000             RegOpenKeyExA
      0000F204       0000F6F8       0000          RegDeleteValueA
      0000F208       0000F70A       0000          RegCreateKeyExA
      0000F20C       0000F71C       0000                RegCloseKey
      0000F210       0000F72A       0000          OpenProcessToken
      0000F214       0000F73E       0000    LookupPrivilegeValueA
      0000F218       0000F756       0000    AdjustTokenPrivileges

------------------------------------------------------------------------

            Name 0000F76E    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F220
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : kernel32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F220       0000F77C       0000                WriteFile
      0000F224       0000F788       0000                   WinExec
      0000F228       0000F792       0000          TerminateProcess
      0000F22C       0000F7A6       0000                      Sleep
      0000F230       0000F7AE       0000             SetFilePointer
      0000F234       0000F7C0       0000       SetFileAttributesA
      0000F238       0000F7D6       0000                OpenProcess
      0000F23C       0000F7E4       0000             LoadLibraryA
      0000F240       0000F7F4       0000       GetWindowsDirectoryA
      0000F244       0000F80C       0000             GetVersionExA
      0000F248       0000F81C       0000             GetTempPathA
      0000F24C       0000F82C       0000       GetSystemDirectoryA
      0000F250       0000F842       0000             GetProcAddress
      0000F254       0000F854       0000          GetModuleHandleA
      0000F258       0000F868       0000       GetModuleFileNameA
      0000F25C       0000F87E       0000             GetLocalTime
      0000F260       0000F88E       0000             GetLastError
      0000F264       0000F89E       0000       GetFileAttributesA
      0000F268       0000F8B4       0000             GetDriveTypeA
      0000F26C       0000F8C4       0000          GetCurrentProcess
      0000F270       0000F8D8       0000                FreeLibrary
      0000F274       0000F8E6       0000             FindNextFileA
      0000F278       0000F8F6       0000             FindFirstFileA
      0000F27C       0000F908       0000                FindClose
      0000F280       0000F914       0000    FileTimeToLocalFileTime
      0000F284       0000F92E       0000    FileTimeToDosDateTime
      0000F288       0000F946       0000                ExitProcess
      0000F28C       0000F954       0000                DeleteFileA
      0000F290       0000F962       0000             CreateThread
      0000F294       0000F972       0000                CreateFileA
      0000F298       0000F980       0000                CopyFileA
      0000F29C       0000F98C       0000             CompareStringA
      0000F2A0       0000F99E       0000                CloseHandle

------------------------------------------------------------------------

            Name 0000F9AC    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F2A8
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : mpr.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F2A8       0000F9B4       0000    WNetCancelConnectionA
      0000F2AC       0000F9CC       0000       WNetAddConnection2A

------------------------------------------------------------------------

            Name 0000F9E2    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F2B4
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : user32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F2B4       0000F9EE       0000                keybd_event
      0000F2B8       0000F9FC       0000                   SetTimer
      0000F2BC       0000FA08       0000             PostMessageA
      0000F2C0       0000FA18       0000             MapVirtualKeyA
      0000F2C4       0000FA2A       0000                KillTimer
      0000F2C8       0000FA36       0000             GetWindowTextA
      0000F2CC       0000FA48       0000                GetMessageA
      0000F2D0       0000FA56       0000          GetDesktopWindow
      0000F2D4       0000FA6A       0000             FindWindowExA
      0000F2D8       0000FA7A       0000                FindWindowA
      0000F2DC       0000FA88       0000          DispatchMessageA
      0000F2E0       0000FA9C       0000             CharUpperBuffA

------------------------------------------------------------------------

            Name 0000FAAE    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F2E8
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : wsock32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F2E8       0000FABA       0000                WSACleanup
      0000F2EC       0000FAC8       0000                WSAStartup
      0000F2F0       0000FAD6       0000                gethostname
      0000F2F4       0000FAE4       0000             gethostbyname
      0000F2F8       0000FAF4       0000                   socket
      0000F2FC       0000FAFE       0000                inet_ntoa
      0000F300       0000FB0A       0000                inet_addr
      0000F304       0000FB16       0000                      htons
      0000F308       0000FB1E       0000                   connect
      0000F30C       0000FB28       0000                closesocket

------------------------------------------------------------------------

            Name 0000FB36    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F314
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : wininet.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F314       0000FB42       0000 InternetGetConnectedState
      0000F318       0000FB5E       0000          InternetReadFile
      0000F31C       0000FB72       0000          InternetOpenUrlA
      0000F320       0000FB86       0000             InternetOpenA
      0000F324       0000FB96       0000       InternetCloseHandle

------------------------------------------------------------------------

            Name 0000FBAC    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F32C
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : advapi32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F32C       0000FBBA       0000             OpenServiceA
      0000F330       0000FBCA       0000             OpenSCManagerA
      0000F334       0000FBDC       0000             DeleteService
      0000F338       0000FBEC       0000             ControlService
      0000F33C       0000FBFE       0000       CloseServiceHandle

------------------------------------------------------------------------

            Name 0000FC14    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F344
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : netapi32.dll
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F344       0000FC22       0000             NetRemoteTOD
      0000F348       0000FC32       0000          NetScheduleJobAdd

------------------------------------------------------------------------

            Name 0000FC46    TimeDateStamp 00000000
  OriginalFirstThunk 00000000       FirstThunk 0000F350
   ForwarderChain 00000000    Characteristics 00000000

-> DLL Name : URLMON.DLL
  |
  ->    ThunkRVA    ThunkValue       Hint             Function Name
   ----------------------------------------------------------------------
      0000F350       0000FC52       0000       URLDownloadToFileA

-> 14 (dec) Dll File(s) Included !

我在网上又找了一些关于这个熊猫病毒的一些资料，看了一些他的表现，知道该病毒确实不可小觑。国内的一些杀毒软件对他没办法，现在唯一的杀毒办法似乎只有使用专杀工具。不过这个病毒做的很狡猾，他会阻止windows任务管理器的打开，在被感染状态下，专杀工具也没有办法启动。不过，它在windows启动时会随系统一起启动，只要删除它的启动项，就可以用专杀工具将其杀灭。
新年到了，大家欢喜之余也小心计算机的安全，我周围有人因为这个病毒没办法只好作整个硬盘的格式化了。图标是熊猫在烧三注香，大家多注意。希望上面的信息对大家有所帮助。更多的信息大家可以参考
http://pluto1313.bokee.com/viewdiary.13531598.html

最后，祝大家新年快乐，Happy New Year !^_^

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

panda.rar （125.10kb，16次下载）

收藏・0

免费・0

支持

最新回复 (25) 1 2 ▶
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 2 楼要是能再写上一些注释那就更好些了,眼睛都看花了,也看不到一些注释 2006-12-31 00:19 0
牛刀小s 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 44 粉丝 0 关注私信	牛刀小s 3 楼如果对还原卡无效的话,这个病毒也没有什么可怕的现在的机器要么做ghost镜像(希望没有哪种病毒毒到去搜索ghost镜像然后把自己添加进去,不过我的镜像和工具自己做成刻录盘了,也不怕),要么装还原精灵(应该只有网吧和学校机房才会装还原卡),出了问题也都是1分钟的事情,反正重要东西不会放在系统盘的. 网上看到有人卖木马,是可以绕过还原精灵和还原卡直接写硬盘的,以前手动找int13 入口点改回来就行了,现在不知道改良没有. 如果可以绕过还原卡直接写硬盘,并且搜寻gho镜像文件把自己添加进去,加上某些死灰复燃的特殊手段,这个病毒就头疼了.现在反正一个ghost了事 2006-12-31 07:58 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由牛刀小s* 发布* 并且搜寻gho镜像文件把自己添加进 ........ gho镜像文件刻光盘。 2006-12-31 09:20 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 5 楼把样本传上来.修改一下后缀名其中反IceSword,反瑞星,江民等杀毒的软件.... :00406A4E:: E8 FBE1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A53:: 68 BA6E4000 PUSH 406EBA \->: IceSword ::00406A58:: 6A 00 PUSH 0 ::00406A5A:: E8 A7E1FFFF CALL 00404C06 \:JMPUP >>>: USER32.DLL:FindWindowA ::00406A5F:: 85C0 TEST EAX,EAX ::00406A61:: 74 2A JE SHORT 00406A8D \:JMPDOWN ::00406A63:: 6A 00 PUSH 0 ::00406A65:: 6A 00 PUSH 0 ::00406A67:: 6A 00 PUSH 0 ::00406A69:: 6A 0D PUSH D ::00406A6B:: E8 C6E1FFFF CALL 00404C36 \:JMPUP >>>: USER32.DLL:MapVirtualKeyA ::00406A70:: 50 PUSH EAX ::00406A71:: 6A 0D PUSH D ::00406A73:: E8 D6E1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A78:: 6A 00 PUSH 0 ::00406A7A:: 6A 02 PUSH 2 ::00406A7C:: 6A 00 PUSH 0 ::00406A7E:: 6A 0D PUSH D ::00406A80:: E8 B1E1FFFF CALL 00404C36 \:JMPUP >>>: USER32.DLL:MapVirtualKeyA ::00406A85:: 50 PUSH EAX ::00406A86:: 6A 0D PUSH D ::00406A88:: E8 C1E1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A8D:: 85DB TEST EBX,EBX \:BYJMP JmpBy:004069C3,00406A61, ::00406A8F:: 0F85 D9FEFFFF JNZ 0040696E \:JMPUP ::00406A95:: B8 CE6E4000 MOV EAX,406ECE \->: Mcshield.exe ::00406A9A:: E8 37F6FFFF CALL 004060D6 \:JMPUP ::00406A9F:: B8 E66E4000 MOV EAX,406EE6 \->: VsTskMgr.exe ::00406AA4:: E8 2DF6FFFF CALL 004060D6 \:JMPUP ::00406AA9:: B8 FE6E4000 MOV EAX,406EFE \->: naPrdMgr.exe ::00406AAE:: E8 23F6FFFF CALL 004060D6 \:JMPUP ::00406AB3:: B8 166F4000 MOV EAX,406F16 \->: UpdaterUI.exe ::00406AB8:: E8 19F6FFFF CALL 004060D6 \:JMPUP ::00406ABD:: B8 2E6F4000 MOV EAX,406F2E \->: TBMon.exe ::00406AC2:: E8 0FF6FFFF CALL 004060D6 \:JMPUP ::00406AC7:: B8 426F4000 MOV EAX,406F42 \->: scan32.exe ::00406ACC:: E8 05F6FFFF CALL 004060D6 \:JMPUP ::00406AD1:: B8 566F4000 MOV EAX,406F56 \->: Ravmond.exe ::00406AD6:: E8 FBF5FFFF CALL 004060D6 \:JMPUP ::00406ADB:: B8 6A6F4000 MOV EAX,406F6A \->: CCenter.exe ::00406AE0:: E8 F1F5FFFF CALL 004060D6 \:JMPUP ::00406AE5:: B8 7E6F4000 MOV EAX,406F7E \->: RavTask.exe ::00406AEA:: E8 E7F5FFFF CALL 004060D6 \:JMPUP ::00406AEF:: B8 926F4000 MOV EAX,406F92 \->: Rav.exe ::00406AF4:: E8 DDF5FFFF CALL 004060D6 \:JMPUP ::00406AF9:: B8 A26F4000 MOV EAX,406FA2 \->: Ravmon.exe ::00406AFE:: E8 D3F5FFFF CALL 004060D6 \:JMPUP ::00406B03:: B8 B66F4000 MOV EAX,406FB6 \->: RavmonD.exe ::00406B08:: E8 C9F5FFFF CALL 004060D6 \:JMPUP ::00406B0D:: B8 CA6F4000 MOV EAX,406FCA \->: RavStub.exe ::00406B12:: E8 BFF5FFFF CALL 004060D6 \:JMPUP ::00406B17:: B8 DE6F4000 MOV EAX,406FDE \->: KVXP.kxp ::00406B1C:: E8 B5F5FFFF CALL 004060D6 \:JMPUP ::00406B21:: B8 F26F4000 MOV EAX,406FF2 \->: KvMonXP.kxp ::00406B26:: E8 ABF5FFFF CALL 004060D6 \:JMPUP ::00406B2B:: B8 06704000 MOV EAX,407006 \->: KVCenter.kxp ::00406B30:: E8 A1F5FFFF CALL 004060D6 \:JMPUP ::00406B35:: B8 1E704000 MOV EAX,40701E \->: KVSrvXP.exe ::00406B3A:: E8 97F5FFFF CALL 004060D6 \:JMPUP ::00406B3F:: B8 32704000 MOV EAX,407032 \->: KRegEx.exe ::00406B44:: E8 8DF5FFFF CALL 004060D6 \:JMPUP ::00406B49:: B8 46704000 MOV EAX,407046 \->: UIHost.exe ::00406B4E:: E8 83F5FFFF CALL 004060D6 \:JMPUP ::00406B53:: B8 5A704000 MOV EAX,40705A \->: TrojDie.kxp ::00406B58:: E8 79F5FFFF CALL 004060D6 \:JMPUP ::00406B5D:: B8 6E704000 MOV EAX,40706E \->: FrogAgent.exe ::00406B62:: E8 6FF5FFFF CALL 004060D6 \:JMPUP ::00406B67:: B8 DE6F4000 MOV EAX,406FDE \->: KVXP.kxp ::00406B6C:: E8 65F5FFFF CALL 004060D6 \:JMPUP ::00406B71:: B8 F26F4000 MOV EAX,406FF2 \->: KvMonXP.kxp ::00406B76:: E8 5BF5FFFF CALL 004060D6 \:JMPUP ::00406B7B:: B8 06704000 MOV EAX,407006 \->: KVCenter.kxp ::00406B80:: E8 51F5FFFF CALL 004060D6 \:JMPUP ::00406B85:: B8 1E704000 MOV EAX,40701E \->: KVSrvXP.exe ::00406B8A:: E8 47F5FFFF CALL 004060D6 \:JMPUP ::00406B8F:: B8 32704000 MOV EAX,407032 \->: KRegEx.exe ::00406B94:: E8 3DF5FFFF CALL 004060D6 \:JMPUP ::00406B99:: B8 46704000 MOV EAX,407046 \->: UIHost.exe ::00406B9E:: E8 33F5FFFF CALL 004060D6 \:JMPUP ::00406BA3:: B8 5A704000 MOV EAX,40705A \->: TrojDie.kxp ::00406BA8:: E8 29F5FFFF CALL 004060D6 \:JMPUP ::00406BAD:: B8 6E704000 MOV EAX,40706E \->: FrogAgent.exe ::00406BB2:: E8 1FF5FFFF CALL 004060D6 \:JMPUP ::00406BB7:: B8 86704000 MOV EAX,407086 \->: Logo1_.exe ::00406BBC:: E8 15F5FFFF CALL 004060D6 \:JMPUP ::00406BC1:: B8 9A704000 MOV EAX,40709A \->: Logo_1.exe ::00406BC6:: E8 0BF5FFFF CALL 004060D6 \:JMPUP ::00406BCB:: B8 AE704000 MOV EAX,4070AE \->: Rundl132.exe ::00406BD0:: E8 01F5FFFF CALL 004060D6 \:JMPUP ::00406BD5:: 33C0 XOR EAX,EAX 2006-12-31 09:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼刚看到一个样本。本来还奇怪为啥叫这个名字,原来图标是熊猫烧香。上传的附件： panda_virus.rar （116.50kb，3次下载） 2006-12-31 09:34 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼最初由 peaceclub* 发布* 刚看到一个样本。本来还奇怪为啥叫这个名字,原来图标是熊猫烧香。挺汉的。 513183115----051 573188047----www 526340178----775 535313902----235 281667636----han 619171971----372 251432365----053 378423756----132 415727183----52c 499505725----520 460954597----pri 414739059----yua 370352105----zho 353573465----635 271176679----huq 715581170----850 365668255----608 490774498----280 495030772----112 88045350----1981 344780925----810 549384614----200 727818210----llo 573834900----woa 573462497----888 494030567----bai 243312677----han 243312677----han 543602710----199 179590953----185 274786692----785 244151629----131 395817237----zha 402581007----197 ----83966559 627766638----h87 799679647----781 121168346----v13 287096839----zwp 554293813----198 609482312----111 ----125922212. 173376362----WAN 398254762----545 511389081----694 592295827----wuz 616653308----132 363938559----woa 631216128----456 443246512----pan 418264394----134 624836045----199 398252333----130 609630724----gyl 269682725----ysy 460848632----511 109678350----564 627114260----13 576545276----131 270749918----112 605331437----138 360256500----025 245284568----197 289466853----AHT 105537804----706 378581795----741 624646868----cw6 79405122----wang 631379644----692 405041712----qqq 664654920----sUx 287247664----775 5911956----min52 376348323----810 375477215----138 43854916----5129 22281089----4313 549446614----mxj 597487511----522 674525696----he2 359354038----139 597306178----ben 35865123----chen ----30fei 504530947----198 283445856----lih 547851150----695 329738609----cui 317907975----mm2 308904134----yc1 285453848----137 271168058----721 445910430----198 89080650----zhan 106298161----137 469314236----002 290718246----wan 409421975----13 378644493----452 593160843----251 444018049----130 122753810----men 545355621----ma8 360788834----123 598642491----niu 718339282----620 584676830----123 673559229----852 278993974----771 278543886----woa 378581795----135 116655217----a29 184318216----gua 524082539----112 715490921----852 54322755----5407 317044090----139 604397697----206 595267357----726 540961040----123 564111593----din 506279517----jin 617941788----640 466170351----133 475922093----121 360525503----cea 522160441----hr0 122084760----130 597306178----ben 415271006----072 398177713----139 170557349----425 308370897----315 550227920----560 51773250----hao0 107436383----137 491525838----515 563886631----137 121790144----078 94041956----5115 419884360----198 245913339----zhe 411575527----198 583610351----478 406821915----LCH 150618472----woa 543076239----832 461956953----192 391566581----889 317534124----ABC 305116357----694 657662646----313 252475787----870 252636541----179 695214006----120 624644013----lqf 332483839----O0O 82666079----5140 506091911----321 33352653----123a 524293348----202 253093295----521 281163509----xxl 543690916----ilo 125869071----liu 250625177----fux 470349757----134 724682958----xuj 709246913----198 260326215----189 695493320----198 584363977----999 310592728----635 503218239----che 529000135----AB1 504614833----511 56678926----0451 48870290----8019 250411582----159 541003330----hua 724743012----051 361205323----520 280169165----133 449177459----631 768646----guang1 378304896----198 245868174----zha 103030150----520 294009729----362 460954597----str 631966483----159 434572298----LIH 328763056----137 463808020----661 375706878----583 254834587----136 511746529----han 578063682----880 360970555----518 445268883----621 ----ximingxi 714095042----woa 357081715----820 274124484----509 350631606----463 53074586----wq12 340709496----chu 472929877----135 380008574----123 627114260----131 523123179----139 279303490----135 66868536----wlee 459599688----mlj 625042816----136 449101867----fen 419814606----41 465018066----13 362155447----pe 371181741----19 43854916----512 545406226----ch 690037624----11 304861284----67 527829625----37 ----54484949 441296406----14 532501774----13 273602155----13 550396977----xd 409787563----19 690569264----07 2052698992----7 19542580----wor 285396181----62 122086392----13 403013212----12 12402461----556 532670133----53 361794406----li 654848092----xx 550365690----53 540129508----85 299798----88232 373051638----13 466283243----88 546485401----13 88790022----lin 373112678----wm 512836067----32 553670803----zh 463179529----21 411143140----04 249246409----sh ----michelle 85215955----137 540961040----12 282572976----su 309351865----CA 279615195----13 282868173----GI 345886613----sm 51972071----sxl 243641615----74 646435543----96 531547109----24 414148079----77 14501819----786 549239726----76 151----1521 373901452----87 415727183----52 654052188----51 ----73336547 ----yudeng 514029124----20 445240753----04 379204186----lm 304418904----75 459674119----hu 179205170----ji 475508644----he 492912626----li 271833448----19 356542844----10 503893762----19 514091830----74 61811963----qin ---- 231101760----FU 474803131----13 719911841----19 308831299----44 330231159----19 441807134----ud 504530947----19 554010689----27 531944678----40 412874520----cd 36029319----260 576643327----zy 297175693----13 523308909----zh 41834704----353 495007988----da 273372314----09 506861805----yd 651741066----74 511180360----ch 654817657----00 541506847----** 573462497----88 654691910----me 672643837----MZ 289466853----AH 469058451----13 513529800----gu 272920880----ju 452686830----ZX 519033857----19 36464101----hon 597541718----13 573200756----84 5273457----8308 330506969----xu 659806114----wb 108460427----56 309351865----ca 375477215----13 471439738----77 378607619----gp 672643837----MZ 253007963----28 523058472----75 616600368----13 84382825----y 408817272----83 305504864----77 30461695----che 515059376----52 544833305----45 249863943----yj 398186265----13 364218516----xi 241252715----48 289940624----my 342510666----ke 77475157----013 ----369 597194180----19 370742598----AD 466450298----85 646925446----19 236724700----86 523301309----13 281295912----83 105408056----ke 38422788----860 281918198----70 52751597----197 547985521----79 495378195----13 ---- 598242271----43 544160285----50 252475787----87 603514824----22 564990187----52 694547543----98 251339822----zh 382906998----10 ----9265758979 444133562----he 502071120----ab 245712521----28 316564379----in 464247868----ng 276917961----su 443246512----pa 10260505----350 514549052----ww 362578087----92 253492681----zy 157576701----ya 573502456----13 185570512----19 503332504----jw ----463743161 504530947----19 ----kie0820 396500328----13 414730484----52 619557694----59 ----64wuying 601749964----48 327348639----82 270000372----si 516490953----61 675644416----19 329343638----62 418264394----13 547851150----69 304107104----59 419738823----tl 602870126----72 405488347----13 602521653----19 435492144----34 695493320----19 ----1314 466941767----go 470717050----12 469117100----31 ----11011288 312010358----19 5911956----min5 359121447----wu 248748169----10 ----9159 693800593----99 277811513----19 343546953----46 179205170----ji 274763768----XA 461550726----71 254385648----32 717208873----41 602386358----ou 280063615----ll 327031216----hu 250302383----13 369357271----zh 493444055----19 451516712----41 179831741----qu 464422267----xb 624528632----88 88790022----lin 449304391----11 673559229----85 624858478----89 328821324----we 631550990----13 284225486----ch 598075845----12 276763873----18 422029363----62 331469586----13 279303490----13 515975908----39 86569927----137 359101883----13 522101711----27 405485145----69 393164937----m1 709246913----19 460417458----WA 360039846----lj 85810368----860 ----imeiqi520 398273598----li 445746220----34 83327375----phe 532996698----80 670623009----19 263496579----ku 279615195----13 309135970----20 ---- 328520176----13 447662148----13 604609546----21 491827622----19 245891967----89 117476652----wa 253077716----30 362155447----88 329927961----01 562686297----87 376930956----07 124398407----89 245120946----19 252828482----gt 4823835----chen ----547575902 75631266----xie 594912856----00 572516066----53 443630495----55 627667710----35 375477215----13 674066076----98 598215276----88 ----62533440 276357576----88 350129831----10 ----5211yaob 350662799----w1 624644013----lq 105026376----ch 114411192----57 604397697----20 306789533----19 309351865----ca 471475076----76 564111593----di 243633559----lu 383047645----36 476095454----13 652808662----64 66868536----wle 251339822----zh 378495375----20 502071120----ab 598642491----ni 370742598----ad 503489037----33 403497375----12 442705504----du ---- 645251078----12 475844109----75 575260660----15 373101079----mi 37778916----089 282802074----20 328658410----CH 25132563----zha 450859968----86 273602155----13 312763915----05 515307120----61 86036716----bnv 370147698----19 546877259----ji 51311702----840 494996075----13 524293348----20 350766147----19 513457607----so 466450298----85 40257221----873 603572460----hd 527158278----DH 3986346----yuan 305891462----w5 358401380----13 421692745----57 ----4 576081170----12 30128756----zha 317381205----19 451180709----00 449078038----78 409421975----13 254860223----de 604088740----52 527262916----72 283575572----36 250625177----fu 412607892----yo 30822661----g30 287181437----20 48646657----136 45206562----452 511240747----21 627667710----35 283284336----28 535423913----81 ----BUGAOSUNI1 516390522----95 283913680----13 584572457----12 346543567----19 ----81147487 522243319----12 ----76262045 496591824----ny 231101760----fu 395521273----52 530415937----h3 563328352----52 191383626----61 308848275----64 502158062----by 584899311----86 317534124----AB 451516712----41 444858905----52 472027174----hy 454620338----77 656539576----65 491525838----51 734318237----13 727664007----fa 422029363----62 46462803----052 109678350----56 ----;[]mji34567 421534439----34 ----yein741 350558450----44 411575527----19 ---- 672643837----MZ 727982528----36 429412169----62 15377915----ter 124547895----13 726657379----10 290718246----wa 65130371----076 120675672----82 ----258. 4347040----8883 236724700----86 ----52317599 429474048----19 704062772----11 357331761----xi 236225768----13 724682958----xu 123740528----85 327739978----72 136931954----52 ----ngjia 709246913----19 247023194----23 421018029----l4 707195545----09 345886613----sm 490353023----19 342114578----19 393582105----98 453802741----66 289749648----07 549322213----76 595571777----58 184767282----13 ----554578417 231101760----FU 61296307----661 51042801----pop 274464613----25 116655217----a2 271623586----14 296507655----19 284580032----kl 275223628----75 410910940----me 125790155----13 563793453----ya 591896314----13 470958966----96 422260206----98 16370669----liz 254813028----fa 328968093----86 465086738----84 369344236----33 380413522----16 122701138----1 328192298----39 282792499----pa 85312380----xiz 382092361----wo 80860787----225 545355621----ma 14130723----338 522679789----07 541003330----hu 340357321----66 516412770----13 13647622----650 403497375----12 ----ying778 181428078----19 275242189----xi 349311932----31 17737199----lai 502194896----95 441058129----mm 531547109----24 379204186----lm 86036716----hbn 303091936----li ----cy82393921 592562402----19 295758149----52 540757931----81 162226082----12 365668255----60 442618138----21 410156790----zh 305173098----30 523776318----88 258751837----19 57874388----198 402405455----13 227658687----13 53605059----871 21851184----bei 29078741----661 493244684----aa 19976378----yan 477569314----17 309351865----ca 48870290----801 598884029----fe 305320151----li 670085353----18 654052188----51 594345526----ab 330506969----xu 365174223----28 421534439----34 36029319----260 383531425----78 69579239----xia 88933875----987 88790022----lin 449177459----63 402583368----13 505901923----ya 173633510----19 454596892----q5 405267934----fe 609145458----00 123060750----19 452927901----40 597487511----52 609160363----li 271640921----ll 271798722----si 1004972----hskz 378644493----45 99958894----cai 604528681----85 474517263----13 598827430----13 675644416----19 373051638----13 499135753----19 380183876----ai 174025985----82 510278005----zh 703231514----74 324215911----32 313590073----13 396007445----ch ----19870725 398044957----75 ----372379512 416702015----21 415303784----lz 346543567----19 602386358----ou ----41592657589 591896314----13 283913680----13 243841595----51 547985521----79 554293813----19 287662918----12 513183115----05 591447812----84 597688607----67 490353023----19 546292061----13 601307730----19 474295705----73 250076280----25 295324470----54 ----15646130 627461926----33 289945957----sh 576472989----89 ----63866 48369465----WZY 474803131----13 11916133----198 120902940----qq 136559880----11 396700765----19 452410546----00 709664012----82 568794326----a1 26450288----qqm 383772182----09 378304896----19 505789483----ko 365811909----19 315412864----80 691308613----11 524083179----aa 371077663----wa 360166117----87 ----454&671&987 263231089----sh 460417458----WA 286887652----86 576571530----12 58578185----669 513134447----11 657247678----88 360649228----13 413997813----ch 283575572----36 416919874----1 331345229----ww 422977810----59 598075845----12 342637406----z1 514713089----19 ----2004040 498569014----13 461152837----19 327108764----83 411091718----22 645251078----12 417245015----79 16660802----aia 634076562----55 123347597----13 328520176----13 85810368----860 446453372----ni 603514824----22 254625195----ws 50612083----790 425188044----43 270967143----li 343175215----52 506091911----32 364218516----xi 543304311----84 119879547----12 361602382----wx 466450298----85 4317735----**bi 279434714----2 415108788----19 715633542----cx 576400677----2s 445268883----62 672643837----MZ 598093985----mt 158096029----du 506232461----20 398986505----81 409150538----19 522438935----44 443881952----44 309892522----78 398482606----80 86569927----137 490925676----BZ 102671057----25 344607973----WO 466283243----88 583074860----52 253007963----28 532004757----13 ----019622981 364692232----33 282802074----20 476095454----13 629459979----07 109117116----52 122420558----52 65046939----137 564111593----di 317534124----AB 313613499----yt 540450464----13 717321206----81 584176371----52 465348388----12 563224892----88 514864658----l1 459806262----13 379018508----78 283237141----he 236074243----12 247023194----23 123740528----85 414180286----zm 294488107----68 277139701----19 415624913----xu 517439018----qw 2374431----8009 641296430----12 342248393----xu 496260467----33 695044755----cd 121346531----11 695256466----12 693977991----18 386633326----77 369413999----19 378427133----za 512164908----19 617639190----qq 492349292----56 57874388----198 513529800----gu 445375508----mu 530415937----h3 519370008----13 419738823----tl 315412864----65 250886085----03 632817695----13 357772269----19 421018029----l4 531289687----12 137128181----39 173376362----WA 279434714----aa 625612917----12 672643837----MZ 369832423----15 397520821----12 504530947----19 328968093----86 385346040----17 448054182----xu 515975908----39 561397585----56 526139787----12 719194200----lx 515747573----19 287866628----13 305320151----li 27109429----gy1 492545248----58 516599384----zx 523058472----75 516412770----13 117205794----86 309589691----66 ----00144230 445910430----19 410156790----zh 270992311----81 632539260----wo 397074924----84 21851184----bei 495378195----13 598651052----13 2006-12-31 11:37 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 8 楼好像可以通过网站我常去的一个网站被人挂上这个东西了 2006-12-31 13:11 0
naitai 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 110 粉丝 0 关注私信	naitai 9 楼厉害。崇拜ing。。。。。。 2006-12-31 17:44 0
听听雨吧雪币： 272 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	听听雨吧 10 楼恩,它只是关闭特定的专杀工具.另外，冰刃会被搞定,你可以下载Secl0ver修改的冰刃2.0,可以不被它sendmessage关闭 2007-1-3 08:53 0
听听雨吧雪币： 272 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	听听雨吧 11 楼最初由 qiweixue* 发布* ::00406BB2:: E8 1FF5FFFF CALL 004060D6 \:JMPUP ::00406BB7:: B8 86704000 MOV EAX,407086 \->: Logo1_.exe ::00406BBC:: E8 15F5FFFF CALL 004060D6 \:JMPUP ::00406BC1:: B8 9A704000 MOV EAX,40709A \->: Logo_1.exe ::00406BC6:: E8 0BF5FFFF CALL 004060D6 \:JMPUP ::00406BCB:: B8 AE704000 MOV EAX,4070AE \->: Rundl132.exe ::00406BD0:: E8 01F5FFFF CALL 004060D6 \:JMPUP 还顺带帮你搞定维金...... 2007-1-3 08:55 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 12 楼这个病毒有一些变种。表现状态几乎一样，阻止显示隐藏文件，阻止打开任务管理。 2007-1-3 11:17 0
pmma 雪币： 178 活跃值： (159) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 13 楼纯粹显示出写此病毒的人rp问题，BS之 2007-1-3 18:43 0
Fahrenheit 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 24 粉丝 0 关注私信	Fahrenheit 3 14 楼后来我发现这个病毒在系统时会随着系统启动,只要在这一点上不要让它抢了先,杀灭这个病毒就不困难了.现在一些主流的杀毒软件已经可以杀这个病毒了,但厂商的反映速度未免也是实在慢了一点. 2007-1-3 23:02 0
duhe 雪币： 1784 活跃值： (1866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 67 粉丝 1 关注私信	duhe 15 楼做gho文件没用的，不幸的是我们公司遭遇了这个该死的病毒，它不但阻止任务管理器和杀毒软件的运行，更气人的是，它专删你做的gho镜像文件，叫你没法还原系统，只得重新安装系统的哦！！！ 2007-1-4 20:44 0
evilangele 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	evilangele 16 楼那能不能进命令提示符啊？能的话就可是试着进入组策略，然后从里面禁用磁盘的自启动，然后在dos下关进程，关过后注销一次，在进来。那个病毒如果只是通过autorun.inf启动的话重起后应该不会在启动了呵呵，以上纯属瞎想，可能不对，有人试了告诉我我结果啊！！ 2007-1-6 21:54 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 17 楼我朋友就是中了这个病毒，真有意思，分析分析看看 2007-1-6 21:55 0
domino 雪币： 200 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 130 粉丝 1 关注私信	domino 18 楼如果系靳用影子~呃肺?原?篦. ?被他感染?? 2007-1-7 16:26 0
海石雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	海石 19 楼崇拜你，学习中 2007-1-7 16:32 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 20 楼唉，我也是一个受害者，没办法重装系统了。 2007-1-7 20:33 0
burderann 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	burderann 21 楼最初由牛刀小s* 发布* 如果对还原卡无效的话,这个病毒也没有什么可怕的现在的机器要么做ghost镜像(希望没有哪种病毒毒到去搜索ghost镜像然后把自己添加进去,不过我的镜像和工具自己做成刻录盘了,也不怕),要么装还原精灵(应该只有网吧和学校机房才会装还原卡),出了问题也都是1分钟的事情,反正重要东西不会放在系统盘的. 网上看到有人卖木马,是可以绕过还原精灵和还原卡直接写硬盘的,以前手动找int13 入口点改回来就行了,现在不知道改良没有. ........ 这就比较可怕了。。。我见过，不知道怎么办。。。。 2007-1-7 21:43 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 22 楼我也中了这个国宝烧香拜年的病毒，习惯性双击打开U盘，没有反应，第一感觉就是中招了！结果每个盘下都多出一只setup.exe的熊猫和一个autorun.inf文件，直接指向setup.exe. 由于对这个病毒不了解，马上用Ghost恢复了系统，再手工删除了每个盘下的这两个文件，只是不知道EXE文件有没有被他枚举感染［教训］很多病毒通过建立autorun.inf，双击盘符就执行了，多个心眼，对不明的盘，用右键先看一下有没有“autorun”或“自动运行”等 2007-1-9 08:43 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 23 楼 COOOOOOOOL 2007-1-9 18:54 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 24 楼熊猫烧香变种. 太可耻的病毒了! 上传的附件： game.rar （28.26kb，7次下载） 2007-1-9 18:56 0
Viruss 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 54 粉丝 0 关注私信	Viruss 25 楼最初由 9494* 发布* ...只是不知道EXE文件有没有被他枚举感染 ... 没有感染EXE 2007-1-10 18:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fahrenheit

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 2 楼要是能再写上一些注释那就更好些了,眼睛都看花了,也看不到一些注释 2006-12-31 00:19 0
牛刀小s 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 44 粉丝 0 关注私信	牛刀小s 3 楼如果对还原卡无效的话,这个病毒也没有什么可怕的现在的机器要么做ghost镜像(希望没有哪种病毒毒到去搜索ghost镜像然后把自己添加进去,不过我的镜像和工具自己做成刻录盘了,也不怕),要么装还原精灵(应该只有网吧和学校机房才会装还原卡),出了问题也都是1分钟的事情,反正重要东西不会放在系统盘的. 网上看到有人卖木马,是可以绕过还原精灵和还原卡直接写硬盘的,以前手动找int13 入口点改回来就行了,现在不知道改良没有. 如果可以绕过还原卡直接写硬盘,并且搜寻gho镜像文件把自己添加进去,加上某些死灰复燃的特殊手段,这个病毒就头疼了.现在反正一个ghost了事 2006-12-31 07:58 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由牛刀小s* 发布* 并且搜寻gho镜像文件把自己添加进 ........ gho镜像文件刻光盘。 2006-12-31 09:20 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 5 楼把样本传上来.修改一下后缀名其中反IceSword,反瑞星,江民等杀毒的软件.... :00406A4E:: E8 FBE1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A53:: 68 BA6E4000 PUSH 406EBA \->: IceSword ::00406A58:: 6A 00 PUSH 0 ::00406A5A:: E8 A7E1FFFF CALL 00404C06 \:JMPUP >>>: USER32.DLL:FindWindowA ::00406A5F:: 85C0 TEST EAX,EAX ::00406A61:: 74 2A JE SHORT 00406A8D \:JMPDOWN ::00406A63:: 6A 00 PUSH 0 ::00406A65:: 6A 00 PUSH 0 ::00406A67:: 6A 00 PUSH 0 ::00406A69:: 6A 0D PUSH D ::00406A6B:: E8 C6E1FFFF CALL 00404C36 \:JMPUP >>>: USER32.DLL:MapVirtualKeyA ::00406A70:: 50 PUSH EAX ::00406A71:: 6A 0D PUSH D ::00406A73:: E8 D6E1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A78:: 6A 00 PUSH 0 ::00406A7A:: 6A 02 PUSH 2 ::00406A7C:: 6A 00 PUSH 0 ::00406A7E:: 6A 0D PUSH D ::00406A80:: E8 B1E1FFFF CALL 00404C36 \:JMPUP >>>: USER32.DLL:MapVirtualKeyA ::00406A85:: 50 PUSH EAX ::00406A86:: 6A 0D PUSH D ::00406A88:: E8 C1E1FFFF CALL 00404C4E \:JMPUP >>>: USER32.DLL:keybd_event ::00406A8D:: 85DB TEST EBX,EBX \:BYJMP JmpBy:004069C3,00406A61, ::00406A8F:: 0F85 D9FEFFFF JNZ 0040696E \:JMPUP ::00406A95:: B8 CE6E4000 MOV EAX,406ECE \->: Mcshield.exe ::00406A9A:: E8 37F6FFFF CALL 004060D6 \:JMPUP ::00406A9F:: B8 E66E4000 MOV EAX,406EE6 \->: VsTskMgr.exe ::00406AA4:: E8 2DF6FFFF CALL 004060D6 \:JMPUP ::00406AA9:: B8 FE6E4000 MOV EAX,406EFE \->: naPrdMgr.exe ::00406AAE:: E8 23F6FFFF CALL 004060D6 \:JMPUP ::00406AB3:: B8 166F4000 MOV EAX,406F16 \->: UpdaterUI.exe ::00406AB8:: E8 19F6FFFF CALL 004060D6 \:JMPUP ::00406ABD:: B8 2E6F4000 MOV EAX,406F2E \->: TBMon.exe ::00406AC2:: E8 0FF6FFFF CALL 004060D6 \:JMPUP ::00406AC7:: B8 426F4000 MOV EAX,406F42 \->: scan32.exe ::00406ACC:: E8 05F6FFFF CALL 004060D6 \:JMPUP ::00406AD1:: B8 566F4000 MOV EAX,406F56 \->: Ravmond.exe ::00406AD6:: E8 FBF5FFFF CALL 004060D6 \:JMPUP ::00406ADB:: B8 6A6F4000 MOV EAX,406F6A \->: CCenter.exe ::00406AE0:: E8 F1F5FFFF CALL 004060D6 \:JMPUP ::00406AE5:: B8 7E6F4000 MOV EAX,406F7E \->: RavTask.exe ::00406AEA:: E8 E7F5FFFF CALL 004060D6 \:JMPUP ::00406AEF:: B8 926F4000 MOV EAX,406F92 \->: Rav.exe ::00406AF4:: E8 DDF5FFFF CALL 004060D6 \:JMPUP ::00406AF9:: B8 A26F4000 MOV EAX,406FA2 \->: Ravmon.exe ::00406AFE:: E8 D3F5FFFF CALL 004060D6 \:JMPUP ::00406B03:: B8 B66F4000 MOV EAX,406FB6 \->: RavmonD.exe ::00406B08:: E8 C9F5FFFF CALL 004060D6 \:JMPUP ::00406B0D:: B8 CA6F4000 MOV EAX,406FCA \->: RavStub.exe ::00406B12:: E8 BFF5FFFF CALL 004060D6 \:JMPUP ::00406B17:: B8 DE6F4000 MOV EAX,406FDE \->: KVXP.kxp ::00406B1C:: E8 B5F5FFFF CALL 004060D6 \:JMPUP ::00406B21:: B8 F26F4000 MOV EAX,406FF2 \->: KvMonXP.kxp ::00406B26:: E8 ABF5FFFF CALL 004060D6 \:JMPUP ::00406B2B:: B8 06704000 MOV EAX,407006 \->: KVCenter.kxp ::00406B30:: E8 A1F5FFFF CALL 004060D6 \:JMPUP ::00406B35:: B8 1E704000 MOV EAX,40701E \->: KVSrvXP.exe ::00406B3A:: E8 97F5FFFF CALL 004060D6 \:JMPUP ::00406B3F:: B8 32704000 MOV EAX,407032 \->: KRegEx.exe ::00406B44:: E8 8DF5FFFF CALL 004060D6 \:JMPUP ::00406B49:: B8 46704000 MOV EAX,407046 \->: UIHost.exe ::00406B4E:: E8 83F5FFFF CALL 004060D6 \:JMPUP ::00406B53:: B8 5A704000 MOV EAX,40705A \->: TrojDie.kxp ::00406B58:: E8 79F5FFFF CALL 004060D6 \:JMPUP ::00406B5D:: B8 6E704000 MOV EAX,40706E \->: FrogAgent.exe ::00406B62:: E8 6FF5FFFF CALL 004060D6 \:JMPUP ::00406B67:: B8 DE6F4000 MOV EAX,406FDE \->: KVXP.kxp ::00406B6C:: E8 65F5FFFF CALL 004060D6 \:JMPUP ::00406B71:: B8 F26F4000 MOV EAX,406FF2 \->: KvMonXP.kxp ::00406B76:: E8 5BF5FFFF CALL 004060D6 \:JMPUP ::00406B7B:: B8 06704000 MOV EAX,407006 \->: KVCenter.kxp ::00406B80:: E8 51F5FFFF CALL 004060D6 \:JMPUP ::00406B85:: B8 1E704000 MOV EAX,40701E \->: KVSrvXP.exe ::00406B8A:: E8 47F5FFFF CALL 004060D6 \:JMPUP ::00406B8F:: B8 32704000 MOV EAX,407032 \->: KRegEx.exe ::00406B94:: E8 3DF5FFFF CALL 004060D6 \:JMPUP ::00406B99:: B8 46704000 MOV EAX,407046 \->: UIHost.exe ::00406B9E:: E8 33F5FFFF CALL 004060D6 \:JMPUP ::00406BA3:: B8 5A704000 MOV EAX,40705A \->: TrojDie.kxp ::00406BA8:: E8 29F5FFFF CALL 004060D6 \:JMPUP ::00406BAD:: B8 6E704000 MOV EAX,40706E \->: FrogAgent.exe ::00406BB2:: E8 1FF5FFFF CALL 004060D6 \:JMPUP ::00406BB7:: B8 86704000 MOV EAX,407086 \->: Logo1_.exe ::00406BBC:: E8 15F5FFFF CALL 004060D6 \:JMPUP ::00406BC1:: B8 9A704000 MOV EAX,40709A \->: Logo_1.exe ::00406BC6:: E8 0BF5FFFF CALL 004060D6 \:JMPUP ::00406BCB:: B8 AE704000 MOV EAX,4070AE \->: Rundl132.exe ::00406BD0:: E8 01F5FFFF CALL 004060D6 \:JMPUP ::00406BD5:: 33C0 XOR EAX,EAX 2006-12-31 09:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼刚看到一个样本。本来还奇怪为啥叫这个名字,原来图标是熊猫烧香。上传的附件： panda_virus.rar （116.50kb，3次下载） 2006-12-31 09:34 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼最初由 peaceclub* 发布* 刚看到一个样本。本来还奇怪为啥叫这个名字,原来图标是熊猫烧香。挺汉的。 513183115----051 573188047----www 526340178----775 535313902----235 281667636----han 619171971----372 251432365----053 378423756----132 415727183----52c 499505725----520 460954597----pri 414739059----yua 370352105----zho 353573465----635 271176679----huq 715581170----850 365668255----608 490774498----280 495030772----112 88045350----1981 344780925----810 549384614----200 727818210----llo 573834900----woa 573462497----888 494030567----bai 243312677----han 243312677----han 543602710----199 179590953----185 274786692----785 244151629----131 395817237----zha 402581007----197 ----83966559 627766638----h87 799679647----781 121168346----v13 287096839----zwp 554293813----198 609482312----111 ----125922212. 173376362----WAN 398254762----545 511389081----694 592295827----wuz 616653308----132 363938559----woa 631216128----456 443246512----pan 418264394----134 624836045----199 398252333----130 609630724----gyl 269682725----ysy 460848632----511 109678350----564 627114260----13 576545276----131 270749918----112 605331437----138 360256500----025 245284568----197 289466853----AHT 105537804----706 378581795----741 624646868----cw6 79405122----wang 631379644----692 405041712----qqq 664654920----sUx 287247664----775 5911956----min52 376348323----810 375477215----138 43854916----5129 22281089----4313 549446614----mxj 597487511----522 674525696----he2 359354038----139 597306178----ben 35865123----chen ----30fei 504530947----198 283445856----lih 547851150----695 329738609----cui 317907975----mm2 308904134----yc1 285453848----137 271168058----721 445910430----198 89080650----zhan 106298161----137 469314236----002 290718246----wan 409421975----13 378644493----452 593160843----251 444018049----130 122753810----men 545355621----ma8 360788834----123 598642491----niu 718339282----620 584676830----123 673559229----852 278993974----771 278543886----woa 378581795----135 116655217----a29 184318216----gua 524082539----112 715490921----852 54322755----5407 317044090----139 604397697----206 595267357----726 540961040----123 564111593----din 506279517----jin 617941788----640 466170351----133 475922093----121 360525503----cea 522160441----hr0 122084760----130 597306178----ben 415271006----072 398177713----139 170557349----425 308370897----315 550227920----560 51773250----hao0 107436383----137 491525838----515 563886631----137 121790144----078 94041956----5115 419884360----198 245913339----zhe 411575527----198 583610351----478 406821915----LCH 150618472----woa 543076239----832 461956953----192 391566581----889 317534124----ABC 305116357----694 657662646----313 252475787----870 252636541----179 695214006----120 624644013----lqf 332483839----O0O 82666079----5140 506091911----321 33352653----123a 524293348----202 253093295----521 281163509----xxl 543690916----ilo 125869071----liu 250625177----fux 470349757----134 724682958----xuj 709246913----198 260326215----189 695493320----198 584363977----999 310592728----635 503218239----che 529000135----AB1 504614833----511 56678926----0451 48870290----8019 250411582----159 541003330----hua 724743012----051 361205323----520 280169165----133 449177459----631 768646----guang1 378304896----198 245868174----zha 103030150----520 294009729----362 460954597----str 631966483----159 434572298----LIH 328763056----137 463808020----661 375706878----583 254834587----136 511746529----han 578063682----880 360970555----518 445268883----621 ----ximingxi 714095042----woa 357081715----820 274124484----509 350631606----463 53074586----wq12 340709496----chu 472929877----135 380008574----123 627114260----131 523123179----139 279303490----135 66868536----wlee 459599688----mlj 625042816----136 449101867----fen 419814606----41 465018066----13 362155447----pe 371181741----19 43854916----512 545406226----ch 690037624----11 304861284----67 527829625----37 ----54484949 441296406----14 532501774----13 273602155----13 550396977----xd 409787563----19 690569264----07 2052698992----7 19542580----wor 285396181----62 122086392----13 403013212----12 12402461----556 532670133----53 361794406----li 654848092----xx 550365690----53 540129508----85 299798----88232 373051638----13 466283243----88 546485401----13 88790022----lin 373112678----wm 512836067----32 553670803----zh 463179529----21 411143140----04 249246409----sh ----michelle 85215955----137 540961040----12 282572976----su 309351865----CA 279615195----13 282868173----GI 345886613----sm 51972071----sxl 243641615----74 646435543----96 531547109----24 414148079----77 14501819----786 549239726----76 151----1521 373901452----87 415727183----52 654052188----51 ----73336547 ----yudeng 514029124----20 445240753----04 379204186----lm 304418904----75 459674119----hu 179205170----ji 475508644----he 492912626----li 271833448----19 356542844----10 503893762----19 514091830----74 61811963----qin ---- 231101760----FU 474803131----13 719911841----19 308831299----44 330231159----19 441807134----ud 504530947----19 554010689----27 531944678----40 412874520----cd 36029319----260 576643327----zy 297175693----13 523308909----zh 41834704----353 495007988----da 273372314----09 506861805----yd 651741066----74 511180360----ch 654817657----00 541506847----** 573462497----88 654691910----me 672643837----MZ 289466853----AH 469058451----13 513529800----gu 272920880----ju 452686830----ZX 519033857----19 36464101----hon 597541718----13 573200756----84 5273457----8308 330506969----xu 659806114----wb 108460427----56 309351865----ca 375477215----13 471439738----77 378607619----gp 672643837----MZ 253007963----28 523058472----75 616600368----13 84382825----y 408817272----83 305504864----77 30461695----che 515059376----52 544833305----45 249863943----yj 398186265----13 364218516----xi 241252715----48 289940624----my 342510666----ke 77475157----013 ----369 597194180----19 370742598----AD 466450298----85 646925446----19 236724700----86 523301309----13 281295912----83 105408056----ke 38422788----860 281918198----70 52751597----197 547985521----79 495378195----13 ---- 598242271----43 544160285----50 252475787----87 603514824----22 564990187----52 694547543----98 251339822----zh 382906998----10 ----9265758979 444133562----he 502071120----ab 245712521----28 316564379----in 464247868----ng 276917961----su 443246512----pa 10260505----350 514549052----ww 362578087----92 253492681----zy 157576701----ya 573502456----13 185570512----19 503332504----jw ----463743161 504530947----19 ----kie0820 396500328----13 414730484----52 619557694----59 ----64wuying 601749964----48 327348639----82 270000372----si 516490953----61 675644416----19 329343638----62 418264394----13 547851150----69 304107104----59 419738823----tl 602870126----72 405488347----13 602521653----19 435492144----34 695493320----19 ----1314 466941767----go 470717050----12 469117100----31 ----11011288 312010358----19 5911956----min5 359121447----wu 248748169----10 ----9159 693800593----99 277811513----19 343546953----46 179205170----ji 274763768----XA 461550726----71 254385648----32 717208873----41 602386358----ou 280063615----ll 327031216----hu 250302383----13 369357271----zh 493444055----19 451516712----41 179831741----qu 464422267----xb 624528632----88 88790022----lin 449304391----11 673559229----85 624858478----89 328821324----we 631550990----13 284225486----ch 598075845----12 276763873----18 422029363----62 331469586----13 279303490----13 515975908----39 86569927----137 359101883----13 522101711----27 405485145----69 393164937----m1 709246913----19 460417458----WA 360039846----lj 85810368----860 ----imeiqi520 398273598----li 445746220----34 83327375----phe 532996698----80 670623009----19 263496579----ku 279615195----13 309135970----20 ---- 328520176----13 447662148----13 604609546----21 491827622----19 245891967----89 117476652----wa 253077716----30 362155447----88 329927961----01 562686297----87 376930956----07 124398407----89 245120946----19 252828482----gt 4823835----chen ----547575902 75631266----xie 594912856----00 572516066----53 443630495----55 627667710----35 375477215----13 674066076----98 598215276----88 ----62533440 276357576----88 350129831----10 ----5211yaob 350662799----w1 624644013----lq 105026376----ch 114411192----57 604397697----20 306789533----19 309351865----ca 471475076----76 564111593----di 243633559----lu 383047645----36 476095454----13 652808662----64 66868536----wle 251339822----zh 378495375----20 502071120----ab 598642491----ni 370742598----ad 503489037----33 403497375----12 442705504----du ---- 645251078----12 475844109----75 575260660----15 373101079----mi 37778916----089 282802074----20 328658410----CH 25132563----zha 450859968----86 273602155----13 312763915----05 515307120----61 86036716----bnv 370147698----19 546877259----ji 51311702----840 494996075----13 524293348----20 350766147----19 513457607----so 466450298----85 40257221----873 603572460----hd 527158278----DH 3986346----yuan 305891462----w5 358401380----13 421692745----57 ----4 576081170----12 30128756----zha 317381205----19 451180709----00 449078038----78 409421975----13 254860223----de 604088740----52 527262916----72 283575572----36 250625177----fu 412607892----yo 30822661----g30 287181437----20 48646657----136 45206562----452 511240747----21 627667710----35 283284336----28 535423913----81 ----BUGAOSUNI1 516390522----95 283913680----13 584572457----12 346543567----19 ----81147487 522243319----12 ----76262045 496591824----ny 231101760----fu 395521273----52 530415937----h3 563328352----52 191383626----61 308848275----64 502158062----by 584899311----86 317534124----AB 451516712----41 444858905----52 472027174----hy 454620338----77 656539576----65 491525838----51 734318237----13 727664007----fa 422029363----62 46462803----052 109678350----56 ----;[]mji34567 421534439----34 ----yein741 350558450----44 411575527----19 ---- 672643837----MZ 727982528----36 429412169----62 15377915----ter 124547895----13 726657379----10 290718246----wa 65130371----076 120675672----82 ----258. 4347040----8883 236724700----86 ----52317599 429474048----19 704062772----11 357331761----xi 236225768----13 724682958----xu 123740528----85 327739978----72 136931954----52 ----ngjia 709246913----19 247023194----23 421018029----l4 707195545----09 345886613----sm 490353023----19 342114578----19 393582105----98 453802741----66 289749648----07 549322213----76 595571777----58 184767282----13 ----554578417 231101760----FU 61296307----661 51042801----pop 274464613----25 116655217----a2 271623586----14 296507655----19 284580032----kl 275223628----75 410910940----me 125790155----13 563793453----ya 591896314----13 470958966----96 422260206----98 16370669----liz 254813028----fa 328968093----86 465086738----84 369344236----33 380413522----16 122701138----1 328192298----39 282792499----pa 85312380----xiz 382092361----wo 80860787----225 545355621----ma 14130723----338 522679789----07 541003330----hu 340357321----66 516412770----13 13647622----650 403497375----12 ----ying778 181428078----19 275242189----xi 349311932----31 17737199----lai 502194896----95 441058129----mm 531547109----24 379204186----lm 86036716----hbn 303091936----li ----cy82393921 592562402----19 295758149----52 540757931----81 162226082----12 365668255----60 442618138----21 410156790----zh 305173098----30 523776318----88 258751837----19 57874388----198 402405455----13 227658687----13 53605059----871 21851184----bei 29078741----661 493244684----aa 19976378----yan 477569314----17 309351865----ca 48870290----801 598884029----fe 305320151----li 670085353----18 654052188----51 594345526----ab 330506969----xu 365174223----28 421534439----34 36029319----260 383531425----78 69579239----xia 88933875----987 88790022----lin 449177459----63 402583368----13 505901923----ya 173633510----19 454596892----q5 405267934----fe 609145458----00 123060750----19 452927901----40 597487511----52 609160363----li 271640921----ll 271798722----si 1004972----hskz 378644493----45 99958894----cai 604528681----85 474517263----13 598827430----13 675644416----19 373051638----13 499135753----19 380183876----ai 174025985----82 510278005----zh 703231514----74 324215911----32 313590073----13 396007445----ch ----19870725 398044957----75 ----372379512 416702015----21 415303784----lz 346543567----19 602386358----ou ----41592657589 591896314----13 283913680----13 243841595----51 547985521----79 554293813----19 287662918----12 513183115----05 591447812----84 597688607----67 490353023----19 546292061----13 601307730----19 474295705----73 250076280----25 295324470----54 ----15646130 627461926----33 289945957----sh 576472989----89 ----63866 48369465----WZY 474803131----13 11916133----198 120902940----qq 136559880----11 396700765----19 452410546----00 709664012----82 568794326----a1 26450288----qqm 383772182----09 378304896----19 505789483----ko 365811909----19 315412864----80 691308613----11 524083179----aa 371077663----wa 360166117----87 ----454&671&987 263231089----sh 460417458----WA 286887652----86 576571530----12 58578185----669 513134447----11 657247678----88 360649228----13 413997813----ch 283575572----36 416919874----1 331345229----ww 422977810----59 598075845----12 342637406----z1 514713089----19 ----2004040 498569014----13 461152837----19 327108764----83 411091718----22 645251078----12 417245015----79 16660802----aia 634076562----55 123347597----13 328520176----13 85810368----860 446453372----ni 603514824----22 254625195----ws 50612083----790 425188044----43 270967143----li 343175215----52 506091911----32 364218516----xi 543304311----84 119879547----12 361602382----wx 466450298----85 4317735----**bi 279434714----2 415108788----19 715633542----cx 576400677----2s 445268883----62 672643837----MZ 598093985----mt 158096029----du 506232461----20 398986505----81 409150538----19 522438935----44 443881952----44 309892522----78 398482606----80 86569927----137 490925676----BZ 102671057----25 344607973----WO 466283243----88 583074860----52 253007963----28 532004757----13 ----019622981 364692232----33 282802074----20 476095454----13 629459979----07 109117116----52 122420558----52 65046939----137 564111593----di 317534124----AB 313613499----yt 540450464----13 717321206----81 584176371----52 465348388----12 563224892----88 514864658----l1 459806262----13 379018508----78 283237141----he 236074243----12 247023194----23 123740528----85 414180286----zm 294488107----68 277139701----19 415624913----xu 517439018----qw 2374431----8009 641296430----12 342248393----xu 496260467----33 695044755----cd 121346531----11 695256466----12 693977991----18 386633326----77 369413999----19 378427133----za 512164908----19 617639190----qq 492349292----56 57874388----198 513529800----gu 445375508----mu 530415937----h3 519370008----13 419738823----tl 315412864----65 250886085----03 632817695----13 357772269----19 421018029----l4 531289687----12 137128181----39 173376362----WA 279434714----aa 625612917----12 672643837----MZ 369832423----15 397520821----12 504530947----19 328968093----86 385346040----17 448054182----xu 515975908----39 561397585----56 526139787----12 719194200----lx 515747573----19 287866628----13 305320151----li 27109429----gy1 492545248----58 516599384----zx 523058472----75 516412770----13 117205794----86 309589691----66 ----00144230 445910430----19 410156790----zh 270992311----81 632539260----wo 397074924----84 21851184----bei 495378195----13 598651052----13 2006-12-31 11:37 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 8 楼好像可以通过网站我常去的一个网站被人挂上这个东西了 2006-12-31 13:11 0
naitai 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 110 粉丝 0 关注私信	naitai 9 楼厉害。崇拜ing。。。。。。 2006-12-31 17:44 0
听听雨吧雪币： 272 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	听听雨吧 10 楼恩,它只是关闭特定的专杀工具.另外，冰刃会被搞定,你可以下载Secl0ver修改的冰刃2.0,可以不被它sendmessage关闭 2007-1-3 08:53 0
听听雨吧雪币： 272 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	听听雨吧 11 楼最初由 qiweixue* 发布* ::00406BB2:: E8 1FF5FFFF CALL 004060D6 \:JMPUP ::00406BB7:: B8 86704000 MOV EAX,407086 \->: Logo1_.exe ::00406BBC:: E8 15F5FFFF CALL 004060D6 \:JMPUP ::00406BC1:: B8 9A704000 MOV EAX,40709A \->: Logo_1.exe ::00406BC6:: E8 0BF5FFFF CALL 004060D6 \:JMPUP ::00406BCB:: B8 AE704000 MOV EAX,4070AE \->: Rundl132.exe ::00406BD0:: E8 01F5FFFF CALL 004060D6 \:JMPUP 还顺带帮你搞定维金...... 2007-1-3 08:55 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 12 楼这个病毒有一些变种。表现状态几乎一样，阻止显示隐藏文件，阻止打开任务管理。 2007-1-3 11:17 0
pmma 雪币： 178 活跃值： (159) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 13 楼纯粹显示出写此病毒的人rp问题，BS之 2007-1-3 18:43 0
Fahrenheit 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 24 粉丝 0 关注私信	Fahrenheit 3 14 楼后来我发现这个病毒在系统时会随着系统启动,只要在这一点上不要让它抢了先,杀灭这个病毒就不困难了.现在一些主流的杀毒软件已经可以杀这个病毒了,但厂商的反映速度未免也是实在慢了一点. 2007-1-3 23:02 0
duhe 雪币： 1784 活跃值： (1866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 67 粉丝 1 关注私信	duhe 15 楼做gho文件没用的，不幸的是我们公司遭遇了这个该死的病毒，它不但阻止任务管理器和杀毒软件的运行，更气人的是，它专删你做的gho镜像文件，叫你没法还原系统，只得重新安装系统的哦！！！ 2007-1-4 20:44 0
evilangele 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	evilangele 16 楼那能不能进命令提示符啊？能的话就可是试着进入组策略，然后从里面禁用磁盘的自启动，然后在dos下关进程，关过后注销一次，在进来。那个病毒如果只是通过autorun.inf启动的话重起后应该不会在启动了呵呵，以上纯属瞎想，可能不对，有人试了告诉我我结果啊！！ 2007-1-6 21:54 0
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 17 楼我朋友就是中了这个病毒，真有意思，分析分析看看 2007-1-6 21:55 0
domino 雪币： 200 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 130 粉丝 1 关注私信	domino 18 楼如果系靳用影子~呃肺?原?篦. ?被他感染?? 2007-1-7 16:26 0
海石雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	海石 19 楼崇拜你，学习中 2007-1-7 16:32 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 20 楼唉，我也是一个受害者，没办法重装系统了。 2007-1-7 20:33 0
burderann 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	burderann 21 楼最初由牛刀小s* 发布* 如果对还原卡无效的话,这个病毒也没有什么可怕的现在的机器要么做ghost镜像(希望没有哪种病毒毒到去搜索ghost镜像然后把自己添加进去,不过我的镜像和工具自己做成刻录盘了,也不怕),要么装还原精灵(应该只有网吧和学校机房才会装还原卡),出了问题也都是1分钟的事情,反正重要东西不会放在系统盘的. 网上看到有人卖木马,是可以绕过还原精灵和还原卡直接写硬盘的,以前手动找int13 入口点改回来就行了,现在不知道改良没有. ........ 这就比较可怕了。。。我见过，不知道怎么办。。。。 2007-1-7 21:43 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 22 楼我也中了这个国宝烧香拜年的病毒，习惯性双击打开U盘，没有反应，第一感觉就是中招了！结果每个盘下都多出一只setup.exe的熊猫和一个autorun.inf文件，直接指向setup.exe. 由于对这个病毒不了解，马上用Ghost恢复了系统，再手工删除了每个盘下的这两个文件，只是不知道EXE文件有没有被他枚举感染［教训］很多病毒通过建立autorun.inf，双击盘符就执行了，多个心眼，对不明的盘，用右键先看一下有没有“autorun”或“自动运行”等 2007-1-9 08:43 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 23 楼 COOOOOOOOL 2007-1-9 18:54 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 24 楼熊猫烧香变种. 太可耻的病毒了! 上传的附件： game.rar （28.26kb，7次下载） 2007-1-9 18:56 0
Viruss 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 54 粉丝 0 关注私信	Viruss 25 楼最初由 9494* 发布* ...只是不知道EXE文件有没有被他枚举感染 ... 没有感染EXE 2007-1-10 18:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复