论坛: 病毒专区 标题: 请问这是什么? 复制本贴地址    
作者: haies49 [haies49]    论坛用户   登录
WinLab32.exe          注册表:名称:Security Patches
Windowstm.exe        注册表:名称:windows Clock Configuration
Windebug.exe          注册表:名称:Microsoft Synchronization Manager
msgfix.exe            注册表:名称:Configuration Loader
wsass.exe            注册表:名称:windows WKS
reg.exe              注册表:名称:Microsoft Synchronization Manager
internat.exe          注册表:名称:Internat.exe


地主 发表时间: 04-06-19 23:30

回复: kailangq [kailangq]   版主   登录
?不明白你要问的是什么?

B1层 发表时间: 04-06-20 00:40

回复: kailangq [kailangq]   版主   登录
以上很正常啊,系统文件

B2层 发表时间: 04-06-20 00:53

回复: thinbug31 [thinbug31]   论坛用户   登录
internat.exe  是输入法
reg.exe 就是你运行注册表的程序
msgfix.exe wsass.exe 好像是病毒来的哦!

B3层 发表时间: 04-06-20 12:16

回复: Frankiez [frankiez84]   论坛用户   登录
Backdoor/Spyboter.bm
病毒长度:变长
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/Spyboter.bm通过弱密码进行传播,允许攻击者利用特定的IRC频道访问被感染的计算机。此外它还利用Mydoom变种的后门功能,拷贝自身到感染Mydoom的机器,然后进行复制。
传播过程及特征:
1.将自己注册为一项服务,即便在用户注销的情况病毒也能运行。
2.创建互斥体"Moo" 保证蠕虫运行。
3.在系统目录下复制自身为:
%System%\Msnss.exe
%System%\Msgfix.exe
4.修改注册表:
添加键值"Configuration Loader" = "msnss.exe"和"Configuration Loader" = "msgfix.exe"到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.定位网络中的用户,企图用预设的密码登陆到共享源,如果成功则进行复制:
IPC$\msgfix.exe
D$\msgfix.exe
print$\msgfix.exe
c$\msgfix.exe
Admin$\msgfix.exe
c$\windows\system32\msgfix.exe
c$\winnt\system32\msgfix.exe
Admin$\system32\msgfix.exe
6.搜索已经感染Mydoom变种的计算机,一旦发现目标便拷贝自身为Msgfix.exe到感染的计算机上,并利用Mydoom的后门组件运行病毒。
7.允许攻击者利用特定的IRC频道访问感染的计算机,一般有下列操作:
下载并执行文件
扫描网络
操作进程
控制系统
执行DoS攻击
重定位端口
盗取系统信息并mail给攻击者
8.盗取游戏CD keys:
Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II - Double Helix
Neverwinter
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Project IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life

Worm/Timer.d
病毒长度:变长 不压缩大约160KB
病毒类型:网络蠕虫
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Worm/Timer.d是用VB编写并用ASPack压缩过的网络蠕虫,在活动窗口的标题栏里显示日期和时间,并加载自身到开始菜单,企图复制自身到软盘。
传播过程及特征:
1.复制自身为Timer.exe:
%Root%\Timer.exe
%Windir%\Timer.exe
A:\Timer.exe
2.修改注册表:
在HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run下添加:"TIMER" = "%Windows%\TIMER.EXE"键值
3.在活动窗口的标题栏里显示当前日期和时间,格式为:月/日/年 时:分

注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt;
%System%为变量,
一般为C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP);
%Root% 是变量一般为C。


B4层 发表时间: 04-06-20 15:39

回复: lijingxi [lijingxi]   见习版主   登录
阿Q 我来UP了
UP

B5层 发表时间: 04-06-20 16:25

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号