[flash]http://swf.news.163.com/flvplayer081128/~false~v_4SSSRGD9~v.2008.163.com/img/snapshot/D/9/v_4SSSRGD9_m~.swf[/flash][ 本帖最后由 纹身青年岳飞 于 2008-12-23 10:36 编辑 ]

一、测试环境测试环境：VMware虚拟机平台：Windows 2000 SP4 已打所有补丁用到的安全辅助软件：金山清理专家2.5 冰刃1.22Eqsecure 4.0 pro测试之前，本机已用金山清理专家2.5漏洞修复功能安装了全部补丁，机器中没有病毒、木马、恶意软件，暂时关闭了杀毒软件的监控功能，以更好体现清理专家结合手工杀毒的魅力。二、中毒症状运行一个网上所谓的“个性化条形码生成软件”，如图双击后，发现硬盘闪了几秒钟，随后该文件自动消失。整个过程见下面的视频。（视频在最后的附件中）随后电脑反应变慢，操作.

大家好！我接触病毒的时间已经比较久了，也曾经痴迷过一段时间。长期游荡在绅博/剑盟/中天/龙族，抓样本分析，测试等等。装过的杀软也接近百款了，现在虽然没有以前那么痴迷了，不过还是比较关注。最近在铁军的博客上看到金山论坛有这样一个活动，也想小试一下牛刀，班门弄斧一下。其实我的分析里面主要还是讲方法，希望大家也能掌握基本的病毒分析方法，期望能和大家共同进步！谢谢！今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早，之所以说它，是因为它是一个比较典型的优盘病毒，而且变种比较难.

运行这个样本后,会在你的电脑里疯狂下载病毒木马在线分析报告:http://www.threatexpert.com/report.aspx?md5=3afd9e30b63dd302f3cb0597a9bd264e用金山清理专家给系统打分后我赛 一分低的不能再低了下面是金山清理专家里的具体的分析木马病毒真够多啊 太恐怖了下面是金山清理专家生成的报告病毒清除方法首先清除恶意插件(提示重启 就重启)然后重新在线诊断发现提示还有病毒 发现他们清除不了,重新生成的报告第一个方法:就借用一运用bootclean技术的顽固文件.

运行某个病毒样本后用金山清理专家打分的结果安全模式被破坏了病毒运行后金山清理专家报告清除方法:在金山清理专家里安全百宝箱中的进程管理器--扫描出风险可疑进程--然后勾选中病毒程序 然后结束掉在全面诊断中 选中红线部分中的文件 然后选择修复(中途可能自动重启,没有关系 重启后继续修复)在启动管理中,按照红线部分两个文件提示的路径 在电脑中找到 然后手动删除病毒就ok,然后禁止那两个项目就ok了下面就是修复安全模式了在金山清理专家中安全百宝箱中 系统修复工具里的安全模式修.

这个病毒表面看起来就是一个word文档,其实他是一个病毒运行这个流氓样本以后在你的电脑中自动下载安装UUSEEskype还有金山金山谷歌合作版翻译 风行网络电影 百度工具栏对于这个样本的行为分析(由于人工分析量太大了,就用专业分析网站进行分析)网址是:http://www.threatexpert.com/report.aspx?md5=b95b7938fe5856d3667bdae45d06756b清除方法:第一步全部选中清除做上一步完后,下图中里的病毒程序全部消灭掉了.就剩下smvs.exe没有消灭掉,在全面诊断中选中smvs.exe 然后选择修复选中项在.

现在很流行一个像视频图标的病毒下面分析一下病毒样本行为分析每个盘符下面都生成rejoice47.exe和autoRun.infautoRun.inf里面的内容是下面是专业分析的结果http://www.threatexpert.com/report.aspx?md5=3e7813dac9e2422e311aabe3082ae7c5分析报告病毒清除办法选择"清除选中项" 病毒就全部消灭掉了

运行环境：pc2007EQ病毒样本：下面是我监测病毒运行过程运行该病毒后 引用:首先在各盘建立C:\autorun.infHE和auto.exe文件D:\autorun.infHE和auto.exe文件E:\autorun.infHE和auto.exe文件进入注册表创建键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run注册表名称:dlnjj_df [key]接着修改其他内存进程并且开始自己创建线程 引用:此时在C盘下创建文件路径:C:\dfDelmlljy.bat运行此命令后删除hosts文件此时调用ping.exe和conime在system32下创建文件文件路.

记得上学那会，有一次电教，开着音响，结果瑞星那小狮子睡了，那老师傻了吧唧的，暴跳如雷，把个讲台拍的梆梆响，说：“谁睡觉呢？还打这么响的呼噜！还要不要脸啦？是谁？”

可解决不能完全卸载NORTON的问题

今天晚上下载了老麦的2009， 用着很棒，表示一下支持卡巴斯基KIS/KAV2009 简体中文【至8.0.0.454正式版】特发140个授权文件激活码KEY

大家都知道，在首次安装卡巴的时候，激活向导里有个“激活试用版本”的选项(能试用一个月)，而当过期之后就没有这个选项了。本程序能找回这个选项，以达到永久免费使用卡巴的目的，免去了寻找卡巴Key的麻烦。

“磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。随着国内老牌反病毒厂商江民科技率先举起“全国追杀磁碟机”的旗帜，越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”，.

超级巡警团队监测到恶意程序Worm.Win32.AutoRun.bdi给很多造成不便。它会伪装为ATI显示卡增强工具ati2evxx.exe和系统文件ntldr。如果不彻底清除主要的恶意程序，会造成很多恶意程序在被清理后还会出现的问题。超级巡警团队提醒以下用户使用超级巡警进行全面扫描：发现在没有安装ATI显卡的系统中存在进程ati2evxx.exe；或者安装了ATI显卡，但是有多个ati2evxx.exe进程。一、病毒相关分析：病毒标签：病毒名称：Worm.Win32.AutoRun.bdi病毒类型：蠕虫危害级别：3感染平台：Windows.

超级巡警团队监测到随着广大网友开始正常的工作，MSN蠕虫又开始扩散。它会给MSN上的好友发送名字中带有photo字样的附件。超级巡警团队提醒广大用户不要轻易下载并运行利用MSN传播的程序。一、病毒相关分析：病毒标签：病毒名称：Backdoor.Win32.IRCBot.gen病毒别名：MSN蠕虫病毒类型：蠕虫危害级别：3感染平台：Windows病毒大小：78,848(字节)SHA1　　：c69509ab0a8108c2c48eb9589735d4be51ed26d5加壳类型：EXECryptor开发.

Whitepaper describing tunneling HTTP traffic via cross site scripting channels.

Paradox Of Web Leeching

Patches for a much publicized Linux kernel local root exploit were released today as 2.6.24.2, 2.6.23.16, and 2.6.22.18. The latest bug, labeled as CVE-2008-0600, was introduced by the vmsplice() system call and added into the 2.6 kernel in 2.6.17. It is the third in a series of root exploits surrounding the same system call, the two earlier bugs being CVE-2008-0009 and CVE-2008-0010. Easily obtained exploits exist for both the older CVE-2008-0010 which affected the 2.6.23 and 2.6.24 kernels,.

今天上网乱灌，无意间发现给SHE伴舞的人像一个个春丽，不过这些春丽有些过于丰满了~~~呵呵，好怀念街霸o(∩_∩)o...