昨天看到一个弹出“我是徐明，不好意思打扰了”的恶作剧病毒，一看就是学生编写的。有趣的是他好像在找一个叫“莫言英”的女子。具体的请看下面做的简单的分析....$ J- H& S: f4 l7 D8 c1 L2 b. a" ]6 x
: s# G: g& O/ X$ A

9 m8 p% [- o  r, d病毒的简单分析如下：
' p/ J9 v- K, Y) W5 a# |8 c; }2 S% B( X% j
病毒添加注册表项目：, n1 N* R6 n/ [5 ^1 I+ w
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
% M% u$ ~7 u3 h% d( p. J6 J    <xmstart><xuming.exe>  []
, F& T$ s* _3 `0 l" ~( |7 [8 }( P" v. a# w, u3 M
各个盘符下留下8 y& Z) z. l5 x. F( `: e
[AutoRun]
4 \) u. w, x* s$ wopen=xuming.exe
+ \' h& S) w- _) D9 \shellexecute=xuming.exe& L+ h. g8 _5 J* h8 e
shell\打开(&O)\command=xuming.exe
7 [7 k0 x1 f$ {9 U4 U" f# O7 o2 L/ Z3 ]7 U3 W3 R/ z
病毒释放如下主要文件：; z! B+ J# a& S( x
%systemroot%\system32\xuming.exe
; T* _5 F% D- ]# @" h2 ~%systemroot%\system32\dllcache\gnimux.exe ( @4 R' \( _3 v3 O( N" `
%systemroot%\system32\xuming1.vbs
: i9 e2 I3 |2 ]- y%systemroot%\system32\xmreg.reg
' l; Y% t! k8 C% R) i$ |: {%systemroot%\system32\pslist.exe
+ E) B" p) \' n" z%systemroot%\system32\xmhold.bat ' @+ w  C; J- d
%systemroot%\system32\istart.bat
1 v* B- t* N8 k3 I%systemroot%\xmmsg.vbs
3 U' l1 Z, Y3 d/ d, U# H) C" C' g8 L: ~%HOMEDRIVE%\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\xuming.exe
0 H' ?* R9 o# o3 g8 S% S8 Q6 U$ U%systemroot%\system32\myy.txt5 ]9 _  r9 A& ?" V" C; @. f1 _

1 z/ c5 y8 H3 t3 V$ ?2 b' L! l3 w) _/ F1 y: {
修改文件夹选项，截图如下：& H, p! d$ g8 L7 D; k

xuming.jpg (38 KB)

2007-10-24 09:21

+ C9 O% g. i( t8 A8 Z
病毒会关闭所有Wscript.exe，重新带参数启动自己的脚本。如果发现被关闭的话会重新创建进程，不断ping本地回环地址。从%systemroot%\system32\xuming.exe和%systemroot%\system32\dllcache\gnimux.exe 中复制丢失的文件。关闭任务管理器，如果不隐藏运行，则取当前时间的小时的个位弹出恶作剧代码。
' ?0 D% a# |1 J关于恶作剧部分，病毒运行后文件夹会不断闪动是由于病毒将C,D,E盘符下的文件树记录到%systemroot%\system32\myy.txt里面，之后寻找是否有叫“莫言英”的文件或者文件夹，如果有会弹出：“您好，在您的电脑是发现了名为“莫言英”文件或文件夹，您是莫言英吗？”如果没有则弹出：“我是徐明，不好意思打扰了。”
" v+ [+ J9 |- e0 n. e
5 J+ m3 _) _2 `/ O6 w3 s  @此病毒的自我保护以及释放方法等技术几乎全部依靠脚本和批处理结合进行，由于禁用了任务管理器以及做了简单的自保护导致处理起来比较麻烦。处理方法我写了一个批处理，可以处理这个病毒的主文件。（附件中的fix.reg用于修复文件夹选项，请解压整个文件夹后运行killxuming.bat文件）
( C. A6 @; |/ }( Y3 V5 U6 o4 k8 {' Q- M$ p( T6 ?/ D
[ 本帖最后由 papa 于 2007-10-24 09:42 编辑 ]

居然有这么奇怪的病毒，顶一个！6 o" B# J) C! U1 O2 \. {" J
{F3(1)} 做好安全防备！

路过,学习一下

学习一下

估计写病毒的人是太无聊拉！

估计是找女朋友得把！{78} {78} {78}

貌似，这样，病毒太垃圾了，我早就会这种小孩子玩的脚本病毒了，病毒制作者真是白痴啊，呵呵{C0} {78} {78} {78} {78} {78} {78}

呵呵，竟然有这些无聊的病毒

我想看看什么样子的。要不光要杀读的也不行啊

那个病毒编写者有病吗

哈哈 顶

这个病毒真是牛...这都有

也许那个人无聊过头了吧,,,,,,,怎么会这么幼稚的~~~~~~