大地图添加城市,在parties.txt里随便复制一段城堡代码加在后面即可。接着找scenes.txt里的scn_castle_n(随便是几),会发现有interior、prison等好几段代码,都一一复制(序号要改)。然后在SceneObj找到对应的castle_n的SCO文件,复制一份改成新建城堡的序号,这个城堡的几个场景也都加好了。
“SCO炸d(Worm.Novarg)”病毒专杀工具工具名称:RavNovarg.exe
版 本 号:1.4
软件大小:97.5 KB
应用平台:Windows平台
更新时间:2005-03-09
发布时间:2004-01-27
发布公司:北京瑞星科技股份有限公司
软件说明:
1.4版新增可查杀病毒:Worm.Novarg.ar 。
1.3版新增可查杀病毒:Worm.Novarg.h.dll.enc, Worm.Novarg.h.enc, Worm.Novarg.f.enc, Worm.Novarg.e.dll.enc, Worm.Novarg.e, Worm.Novarg.d.dll.enc, Worm.Novarg.d.enc
1.2版新增可查杀病毒:Worm.Novarg.c, Worm.Novarg.c.dll, Worm.Novarg.c.enc。
1.1版新增可查杀病毒:Worm.Novarg.b
1.0版可查杀病毒:Worm.Novarg
针对“SCO炸d(Worm.Novarg)”病毒的专杀工具。下载工具后直接运行即可。
专杀工具只能查杀独立的文件,不能查杀复合文档中的病毒,比如邮箱或者压缩文件,若需要全方位的对您的计算机进行杀毒或者防护,建议您购买并安装具备立体防毒功能的瑞星杀毒软件2004版盒装产品或瑞星杀毒软件下载版,企业局域网用户请选用具备全网杀毒,管理方便的瑞星杀毒软件网络版产品。
病毒介绍
病毒名称:SCO炸d(Worm.Novarg)
这是一个蠕虫病毒。用upx压缩。
病毒行为:
病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run加入自己的键值:TaskMon
后门:
病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll
并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:
在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。
Dos攻击:
病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个。
P2p共享传播:
病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP
office_crack,nuke2004
扩展名为:
.pif,.scr,.bat,.exe
邮件传播:
病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)
并对这些地址进行发送病毒邮件。
病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error
邮件内容为:
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。
邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
警报:"SCO炸d"新变种现身 两年内持续攻击SCO网站
参考资料:
http://it.rising.com.cn/service/technology/RS_Novarg.htm
机器狗/磁碟机/AV终结者专杀工具http://www.duba.net/zhuansha/259.shtml
AUTO木马群专杀工具
http://www.duba.net/zhuansha/260.shtml
3.16-3.31感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:关于清理专家反复报告发现某恶意软件的处理办法
论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反d,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。
目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。
以下是本周10大病毒列表:
1.Auto病毒群(auto.exe)
详细信息,参阅http://bbs.duba.net/thread-21902724-1-1.html
2.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅http://bbs.duba.net/thread-21896365-1-1.html
3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
http://bbs.duba.net/thread-21891440-1-1.html
4.JS.fullexploit.ca.4678(乌鸦喝水4678)
感染日志类似于:
引用:
病毒名称JS.fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\
病毒名称(中文):乌鸦喝水4678
威胁级别:★★☆☆☆
病毒类型:网页病毒
病毒长度:4678
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问网络的时候访问网络的时候挂马传播.
1.一旦病毒脚本溢出成功后,会从http://99.vc/s.exe上下载木马程序运行
2.该溢出脚本对应的漏洞溢出模块的CSLID如下:
baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9
BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2
迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F
受影响的realplayer版本号:
“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、
“Windows RealPlayer 10”、
“Windows RealOne Player v2 (6.0.11.853 - 872)”、
“Windows RealOne Player v2 (6.0.11.818 - 840)”
解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。
5.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
6.Win32.Troj.InjectT.gh.180736
升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。
查毒日志类似于
引用:
病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功
7.Win32.Troj.OnLineGamesT.gr.2637
查毒日志类似于
引用:
Win32.Troj.OnLineGamesT.gr.2637
Win32.Troj.OnlineGamesT.zy.123185
Win32.Troj.Agent.ol.61440
Win32.Troj.OnlineGamesT.xy.44337
Win32.Troj.OnlineGamesT.gr.2637
问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就d出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)
病毒分析:
引用:
病毒类型:木马
文件大小:17836 byte
二、 病毒描述:
该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。
三、 行为分析
生成文件:
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
写注册表启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"
Type: REG_SZ
Data: C:\WINDOWS\upxdnd.exe
将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。
解决方案:
引用:
使用金山清理专家粉碎以下文件或升级到最新后查杀。
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
然后使用清理专家删除以下残留的注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
upxdnd
8.Win32.Troj.RootkitT.k.16800
染毒日志类似于
引用:
win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys
病毒名称(中文):病毒保护伞16800
威胁级别:★★☆☆☆
病毒类型:黑客工具
病毒长度:16800
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
9.Win32.Troj.AgentT.fm.14452
病毒分析:
病毒名称(中文):网游盗贼14452
威胁级别:★★☆☆☆
病毒类型:偷密码的木马
病毒长度:14452
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。
1.病毒运行后,产生以下病毒文件(文件名不定)
C:\WINDOWS\system32\avzxest.exe
C:\WINDOWS\system32\avzxemn.dll
C:\WINDOWS\system32\avzxein.dll
c:\WINDOWS\Fonts\mszhasd.fon
2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,以便随系统启动。
3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,以便随系统启动。
4.病毒运行后,会删除自身,用户发现文件点击后消失。
5.修改注册表,禁用系统防火墙和自动更新功能。
6.不断地写2、3提到的注册表项,防止被删除。
7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.
清除方案:
使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。
c:\windows\system32\avzxest.exe
c:\windows\system32\avzxemn.dll
c:\windows\system32\avzxein.dll
c:\windows\Fonts\mszhasd.fon
重启后,再用清理专家修复注册表中的残留信息。
10.Win32.TrojDownloader.Agent.49152
这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。
查毒日志类似于
引用:
C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒
C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920
中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(http://bbs.duba.net/thread-21893089-1-1.html)
参考资料:http://bbs.duba.net/thread-21904481-1-1.html
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)