孤独更可靠

这类信息通常于手机端发送，且时间和声讯台号码具有不确定性，格式信息如下：
Snap1.jpg (16.16 K)
2009-8-31 11:14:28


由于平台的约束，几乎排除手机病毒的可能，，
我想应该是由PC端被获取的账号密码，经过一系列的处理（群登，群发），
对傀儡号码里的好友列表发送“声讯台点歌”信息，当然，这只是个骗局。
如果你不幸拨打了这些号码，那么也许有天会收到欠费单或定制业务的通知，呵呵，不要为此感到惊讶。[/img]..

文件名称：gdiplus.exe   文件大小：57899 字节   病毒命名：   BitDefender - - Gen:Trojan.Heur.3065153434 DrWeb - - BACKDOOR.Trojan McAfee+Artemis - - Generic!Artemis   加壳方式：A..

没什么改变，贴图说话   文件图标：     运行后弹出对话框，迷惑中毒用户：     添加启动项，连接radiofm24.info，在任务管理器可见：     修改主页：  

这病毒很不简单，比之07年横行的AV终结者有过之而无不及。一般中这病毒只有等死了（截断一切的防护措施），甚至下载的恶意程序还使用了Rootkit技术....

分析如下：

木马连接的下载地址hxxp://a.wuc9.com/ab.cs..

usp10.dll的载体是：gr.exe。   这病毒有点诡异，，可能是因为防止在虚拟机被调试   我测试的时候磕磕碰碰，现下简单分析：   一、首先运行gr.exe，没动静（任务管理器可见）...没有任何作为。 &..

在某站抓了一包~~发现了这个，好厉害啊，会删安全工具
 
简单分析~~
 
文件名称：名称随机
文件大小：13149.dat
AV命名： Backdoor.Win32.Agent.ahj（Ikarus）
加壳方式：NsPack
文件MD5：ca20..

原发在其他论坛，直接复制了，懒编辑~~~








下面是解密过程：

首先是一个Url16进制转义字符加密，解密得：

hXXp://ipoqi.9999.la/

这个网站会检测Referer，如果有效，则跳转页面：

文件名称：SCVVHSOT.exe

文件大小：671,744 bytes

AV命名：Worm.Win32.AutoIt.e（卡巴斯基）

文件MD5：74A28F9B4AE5687BDE6692FC21E4C8F6

病毒类型：病毒


主要行为：

1、释放文件：

C:\Windows\System32..

文件名称：Serverx.exe
 
中文别名：愤怒天使
 
文件大小：9418 bytes
 
AV命名：Virus.Win32.Small.l（Kaspersky） Win32/Small.S（AVG）
 
加壳方式：未知压缩壳
 
编写语..

这东西接近无敌了：
 
绕主防、Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
 
进程守护、关杀软、屏蔽安全工具、感染文件（带加密）、破坏安全模式等等
 
哈哈。
 
测试为..

其实这是之前Rose病毒的一个新变种，大多数杀软都能识别。
 

文件名称：sxs.exe
 
文件大小：40663 byte
 
AV命名：
 
卡巴斯基：Trojan-PSW.Win32.QQRob
瑞星：Worm.Pabug.l
&n..

今天呃，20岁了。
 
：）

文件名称：mravsc32.exe
 




文件大小：432640 byte
 




AV命名：
 




Net-Worm.Win32.Kolabc.bh 卡巴斯基
Backdoor.Win32.SdBot.qqv 瑞星
Worm.Kolabc.bh.432640 金山..

InstallRite、Total Uninstall、Filemon、Regshot、Regsnap都不大好阿..
 
InstallRite：操作起来很麻烦，没帮助手册的话等着撞墙..也经常出现一些莫名其妙的问题
 
Total Uninstall：兼容性差
&n..

 
这类东西纯粹骗人的烂货
 
移动联通手机充值卡的卡号和密码根本没有规律可言
 
要是真有，它不需要公布出来，可以自己拿“算号器”卖卡奔小康了
 
看它的注册方式：
 


 
还是老手段，骗钱的～
 
界面：
 


 
另外这个“强大”的煞笔软件的注册方式是网络验证
 
哈哈，破解不了，只能默默的鄙视下
 
 [/img]..