广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5047 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
良牙 手机
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x26
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 木马资讯 FuckJacks.exe
************************************
Dd11.exe大小为30,465位元组,FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件,同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件(利用系统自动播放达到启动目的)。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程式,同时占用大量CPU,会结束掉一些进程,比如注册表编辑器、IceSword所有版本等。
病毒激活时会不停的写注册表保证自己的启动项有效。
病毒会覆盖或者修改掉正常的程式,当EXE程式的档案名称第一个为数字或者字母a-d(A-D)时会立刻进行覆盖或修改,其他档案名称的程式会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除:
1、打开任务管理器,结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表,或者跳过这一步,不是特别重要。
5、被病毒覆盖的文件(覆盖后的文件大小为30,465位元组)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌。

=================================

对FuckJacks.exe的深入分析
分类:IT

病毒会搜索进程查找并结束窗口资讯中包含如下资讯的进程:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
**************************
同时直接结束如下这些进程(注意最后三个和Viking对上了,呵呵):
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
**************************
病毒会删除上面提到的反病毒软体的注册表键值,同时删除雅虎助手的注册表
**************************
搜索区域网路共享,利用暴力破解区域网路用户密码方式试图传播自己,成功后将以GameSetup.exe的形式传播
调用Net.exe和Net1.exe删除admin$和IPC$共享
记录键盘,盗取QQ,记录资讯会保存到C:\test.txt(同时会记录成功连接的IP共享资讯)中
**************************
感染EXE、SCR、PIF、COM文件,同时删除GHOST备份(*.gho)

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富




献花 x1 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-11-22 19:17 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.051301 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言