做人要低调,偶是一条几乎每天在线的虫虫,什么都不会,技术的共享是无条件的.什么才是真正属于我的?
本人博客顶级域名WWW.VIYAZONE.CN 欢迎按Ctrl+D加入收藏夹 QQ Group:14379111
本人博客顶级域名WWW.VIYAZONE.CN 欢迎按Ctrl+D加入收藏夹 QQ Group:14379111
Orz.exe-Trojan.Drondog
[
2008-7-13 18:04 | by viphjw ]
下午16:30分突然有兴致给大家做博客友情链接,先是访问了某人的域名:*.sealx.*,结果大失所望,不过有一个惊喜:他的博客被人挂病毒了.是最近比较流行的Flash漏洞之一的ORZ,这是我抓到的第二个版本,比之前的大了4K,达到20K,因为是相对比较老的病毒其他分析略
File: orz2.exe
Size: 20897 bytes
Modified: 2008年7月13日, 17:04:14
MD5: D0708FEC72B9696B1B862FCA842D9C3C
SHA1: 6FBD16D3E0D89143E0A8A431C0EFEAF5D5A2E7E4
CRC32: 14A4CA50
Shell:NsPacK V3.7
运行后创建文件
c:\mahtesf3.bat 128 bytes 0xD31C0557638F79C6BEC32A6918688900
替换%System%\explorer.exe 1,032,192 bytes 0xA0732187050030AE399B241436565E64
%Windir%\fvca.exe
Size: 20897 bytes
Modified: 2008年7月13日, 17:04:14
MD5: D0708FEC72B9696B1B862FCA842D9C3C
SHA1: 6FBD16D3E0D89143E0A8A431C0EFEAF5D5A2E7E4
CRC32: 14A4CA50
Shell:NsPacK V3.7
运行后创建文件
c:\mahtesf3.bat 128 bytes 0xD31C0557638F79C6BEC32A6918688900
替换%System%\explorer.exe 1,032,192 bytes 0xA0732187050030AE399B241436565E64
%Windir%\fvca.exe
ntuser.com-Generic.Malware.Win32.Trojan.Downloader
[ 2008-6-13 20:57 | by viphjw ]
刚才通过baidu找DJ的MP3发现的,利用漏洞内嵌在页面中(我机器从来不打补丁,so可以轻松捉到),目前全球大概只有6款杀软可以查杀,包括启发
File: ntuser.com
Size: 4608 bytes
Modified: 2008年6月13日, 19:47:26
MD5: 0BCB2187B2E0EDCF88EC0CACFFF15E05
SHA1: D4B353DB74676F10B85A7E7D721D0F2E18A01C31
CRC32: 1B393C39
File: ntuser.com
Size: 4608 bytes
Modified: 2008年6月13日, 19:47:26
MD5: 0BCB2187B2E0EDCF88EC0CACFFF15E05
SHA1: D4B353DB74676F10B85A7E7D721D0F2E18A01C31
CRC32: 1B393C39
ALLReName的真相
[
2008-5-9 18:54 | by viphjw ]
最近因为要给一些手头的照片批量重命名整理一下,以前一直用拖把更名,我承认这软件写的好,简单易用,界面也好,但是我只用更名功能,感觉浪费严重,虽然我一直用自己做的精简版.所以打算找一个功能简单的软件来代替它,下午没事情干的时候在寻找相关软件信息并一一对比测试,最后并无满意.刚在JM的群内聊天讨论到最近一个新病毒变种感染文件的名字时,我也随手打了个文件名字,顺便无意看了眼C盘根目录,不看不知道,一看汗就下来了
第一次发现了非本人建立的奇怪目录:真相快递[创建时间2008年5月9日, 13:29:57]本人机器一直守卫森严,今天居然有小贼进入,肯定是下午试用软件弄进来的,翻开回收站,找到了源头
第一次发现了非本人建立的奇怪目录:真相快递[创建时间2008年5月9日, 13:29:57]本人机器一直守卫森严,今天居然有小贼进入,肯定是下午试用软件弄进来的,翻开回收站,找到了源头
AMD OverDrive v2.0.17.0078 - AMD官方超频工具
[
2008-3-30 15:00 | by viphjw ]
AMD官方推出的一款系统检测、超频工具,专为Spider平台打造,即支持Phenom处理器、7系列芯片组和Radeon HD 3000系列显卡.它可以帮你手动或自动控制处理器、芯片组、内存、显卡等部件,并按照自己的需要进行细致入微地调节.当然,要想使用OverDrive,一个最基本的前提就是你必须拥有一块7系列芯片组主板,在其他系统上强行安装也无法启动
dodolook.exe-AdWare.Win32.Cinmus.ckl
[
2008-3-28 19:40 | by viphjw ]
最近连续几天处理机器经常碰见这个文件,看了有点不爽,于是抓时间没事简单分析一下,不是什么厉害的东东
File: dodolook.exe
Size: 165369 bytes
MD5: 6B1A8B7922FF015A0A2DBA8871BFD91F
SHA1: 2966AA8230CA251860AF906B4110BB92B0CA68A0
CRC32: D52344DD
Shell:NSIS V2.1X
Size: 165369 bytes
MD5: 6B1A8B7922FF015A0A2DBA8871BFD91F
SHA1: 2966AA8230CA251860AF906B4110BB92B0CA68A0
CRC32: D52344DD
Shell:NSIS V2.1X
Info.exe-Trojan-Spy.Win32.VB.qu
[ 2008-3-27 14:58 | by viphjw ]
File: INFO.EXE
Size: 189692 bytes
File Version: 3.608.0433
Modified: 2008年3月27日, 14:50:14
MD5: F2D9E278BFCA9E93578A8EA9536DA93A
SHA1: CF4F2E03673413C8203566EA255411B4B5230B9B
CRC32: 63F8FE2B
Size: 189692 bytes
File Version: 3.608.0433
Modified: 2008年3月27日, 14:50:14
MD5: F2D9E278BFCA9E93578A8EA9536DA93A
SHA1: CF4F2E03673413C8203566EA255411B4B5230B9B
CRC32: 63F8FE2B
pagefile(磁碟机)-Virus.Win32.Xorer.ek
[ 2008-3-19 21:31 | by viphjw ]
有点上瘾,我总是这样,一阵上瘾起来就没完
这个是08-02-29的磁碟机样本,最近蛮流行的东东,距现在来算应该相当古老,无聊分析一下,但是性质一样,样本够BT
这个是08-02-29的磁碟机样本,最近蛮流行的东东,距现在来算应该相当古老,无聊分析一下,但是性质一样,样本够BTFile: pagefile.pif
Size: 93696 bytes
Modified: 2008年2月29日, 22:11:10
MD5: 425C04014B084D762BBCA217277643F0
SHA1: 490540C6D0485E61AD9AA1E798D8FB332E2262E5
CRC32: DC9C2889
Shell:UPX
Size: 93696 bytes
Modified: 2008年2月29日, 22:11:10
MD5: 425C04014B084D762BBCA217277643F0
SHA1: 490540C6D0485E61AD9AA1E798D8FB332E2262E5
CRC32: DC9C2889
Shell:UPX
swchost.exe[Trojan-PSW.Win32.OnLineGames.fxk]
[ 2008-3-19 20:42 | by viphjw ]
File: swchost.exe
Size: 51505 bytes
Modified: 2000年11月6日, 17:45:34
MD5: AE8DA6166CA8A5323F77AD165978A721
SHA1: 3AAE618601E4B1ADBA27161CA45589B26687B077
CRC32: 37C8F33A
Shell:ASPack 2.12
Size: 51505 bytes
Modified: 2000年11月6日, 17:45:34
MD5: AE8DA6166CA8A5323F77AD165978A721
SHA1: 3AAE618601E4B1ADBA27161CA45589B26687B077
CRC32: 37C8F33A
Shell:ASPack 2.12
interne.exe-Trojan-Downloader.Win32.VB.dgg
[ 2008-3-19 20:07 | by viphjw ]
File: interne.exe
Size: 4584 bytes
Modified: 2006年12月14日, 14:29:30
MD5: EDA9A2A69037D8EA016D79B1E5180F1A
SHA1: B4F642E0E1A39AA82808B57950B8C05465FA4230
CRC32: D1952A58
Shell:FSG 2.0
Size: 4584 bytes
Modified: 2006年12月14日, 14:29:30
MD5: EDA9A2A69037D8EA016D79B1E5180F1A
SHA1: B4F642E0E1A39AA82808B57950B8C05465FA4230
CRC32: D1952A58
Shell:FSG 2.0
引用
后台运行并下载h*p://zhifufacai.cn/wwwroot/crr.exe
360Safe.exe-Backdoor.Win32.Hupigon.bhvb
[ 2008-3-19 19:50 | by viphjw ]
自从偶的Virtual machine坏了后懒的重装也就很少去分析了,平时只是收集和测试样本而已,今无意在某群中发现一个好东东,随解决我心头之痒
用今天上午抓的昨天产新鸽子来做试验,好戏来了
用今天上午抓的昨天产新鸽子来做试验,好戏来了File: 360Safe.exe
Size: 305664 bytes
Modified: 2008年3月14日, 16:47:38
MD5: 2452434E6B009BC27F51D7F8FEC1CD1A
SHA1: C73F3645C1AFC96F73A8942C7F9628D0DEBAB3D6
CRC32: B1B5BE0C
Shell:N/A
Size: 305664 bytes
Modified: 2008年3月14日, 16:47:38
MD5: 2452434E6B009BC27F51D7F8FEC1CD1A
SHA1: C73F3645C1AFC96F73A8942C7F9628D0DEBAB3D6
CRC32: B1B5BE0C
Shell:N/A
清理硬盘上部分病毒样本2007[07-08][附写真]
[ 2007-8-29 11:26 | by viphjw ]
貌似最近一直被相机+照片和其他事情包围了,很久没有整理丢在硬盘角落的样本了,今天心情不错闲来无事整理了一下,包括AV终结者和其生成器;番茄花园病毒;模仿skype和wow盗号等
清理硬盘部分病毒样本2007[03-04月][附写真]
[ 2007-5-9 20:07 | by viphjw ]
今天下午整理了硬盘上面的所有图片,把他们分类归好.连同更新相册.晚上顺便清理病毒样本释放部分无用空间,突然发现病毒数量和感染手段成正比,没有下降反而提高了
2007-01-20病毒写真
[ 2007-1-20 20:29 | by viphjw ]
今天清理了2台机器,给出一台机器的病毒写真,他的病毒我一共清理了13729个,但是其中有80多个新病毒,瑞星不报,放出部分写真给大家看看,这几天忙着清理大家机器的病毒,等都弄完了给个分析结果出来,估计几天之内还有新的,注意看图那个235780M的文件是个伪装文件昨天在我弟弟的机器上也发现了,还有其他的几个比如winlog0n(数字0)iexp1ore(数字1)这些图标是小人的我弟弟的机器也有,估计这些会很快流行起来,大家注意小心
考试完毕&满城尽烧国宝香
[ 2007-1-17 22:31 | by viphjw ]
今天考试7门全部结束,稍微庆祝一下,从明天开始跑各位的机器喽,各位提前家里留人,N台机器中了可爱的熊猫烧香,满城尽烧国宝香这个词是在熊猫烧香病毒体内发现的.说的一点都不假,全盘感染可执行程序和网页,外加移动硬盘和U盘,最后连手机的存储卡都不放过,反正能染的一个不放.刚全面更新了手中的工具,准备和它大干一场
清理硬盘上小部分病毒样本2006[11-12][附写真]
[ 2007-1-11 20:57 | by viphjw ]
刚才清理了一下硬盘的病毒样本,刚开始的时候都不报现在差不多都报了,没有留的价值了,该研究的都研究完了,没研究的也没时间玩了,释放空间全部删除掉,过几天估计又要有新的了
