人人有本用

首页 » 休闲 » 水淹虫窝 » 虫族音乐 » 绝对要看,超搞笑
rakeliu - 2004/1/5 14:29:00
有恶意代码!
严重鄙视楼上的!:n19:
版主快来把这帖子删了!
xsx - 2004/1/5 14:48:00
我来把恶意代码贴出来

[ Last edited by xsx on 2004-1-5 at 03:23 PM ]

附件: 未定标题1.jpg
xsx - 2004/1/5 14:56:00
qisiniwa.vicp.net的IP地址当前解析是211.92.52.196,18600.net的IP地址也是211.92.52.196

[ Last edited by xsx on 2004-1-5 at 03:26 PM ]
xsx - 2004/1/5 15:00:00
继续把病毒程序贴出来,有兴趣的拿去研究。千万不要执行!斑竹如果觉得不妥请删掉

附件: jy8886.zip
xsx - 2004/1/5 15:08:00
通过分析可以看出,代码先声明一个ActiveX对像wsh(查CLASSID可以知道是Windows Script Host Shell Object类,下面执行脚本需要用),然后通过VBScript创建一个ftp脚本文件jy8886.txt,然后通过运行ftp执行这个脚本下载jy8886.exe到本地,然后执行病毒文件,最后删掉ftp脚本。

[ Last edited by xsx on 2004-1-5 at 03:57 PM ]
xsx - 2004/1/5 15:14:00
继续分析这个病毒干了什么事情呢?
我们先看看它引用哪些函数
@kernel32.dll
GetProcAddress      
LoadLibraryA        
GetModuleHandleA    
GetModuleFileNameA  
FreeLibrary        
ExitProcess        
LocalAlloc          
LocalFree          
CreateFileA        
SetFilePointer      
CloseHandle        
CreateFileMappingA  
MapViewOfFile      
UnmapViewOfFile    
WriteFile          
DeleteFileA        
CreateDirectoryA    
GetTempPathA        
GetSystemDirectoryA
GetWindowsDirectoryA
WinExec            
lstrcpyA            
lstrcpynA          
lstrcatA            
lstrlenA

@user32.dll
MessageBoxA

@shell32.dll
ShellExecuteA

@advapi32.dll
RegOpenKeyExA  
RegQueryValueExA
RegCloseKey
xsx - 2004/1/5 15:16:00
基本上可以看出这只是一个后门软件,并不会破坏系统,所以一般猜想楼主这个病毒大概还没写完吧,只是先放一些后门,方便入侵,或者只是一个测试?
xsx - 2004/1/5 15:18:00
应该感谢楼主提供了一个这样好的教材,让大家深入认识电脑病毒:s::s::s:
如果方便的话能不能把你的创作思路和源码放出来?
dido - 2004/1/5 15:34:00
我还是感谢XSX给我上了一课,
楼主这样的人会常吃药的~~~:n19:
dido - 2004/1/5 15:36:00
不过我还是没看懂,能不能简单说怎么知道自己电脑里有没木马后门?有了怎么消?
xsx - 2004/1/5 15:39:00
建议你看下这篇文章
http://www.nbuser.com/discuz/viewthread.php?tid=62736
tracey716 - 2004/1/5 15:44:00
靠,这个………虾米也看不懂~~~:n04::n04::n04::n04:上次的作业还是xsx给做的捏~~~
xsx - 2004/1/5 16:10:00
分析显示,这是一个木马程序,盗取传奇帐号用。这个病毒程序不是楼主写的。

[ Last edited by xsx on 2004-1-5 at 04:21 PM ]
dido - 2004/1/5 16:17:00
估计楼主的白痴样也写不出来这样的东西,盗取别人东西的人自己能有什么作为:n19:
dido - 2004/1/5 16:19:00
看死我了,还是云里雾里的:n04:
xsx - 2004/1/5 16:27:00
看看18600.net是个什么网站大家就明白了,呵呵

附件: 未定标题1.jpg
xsx - 2004/1/5 16:29:00
这应该是违法行为吧,难道就没有人举报吗?
xsx - 2004/1/5 16:30:00
呵呵,价格还真不便宜啊

附件: 未定标题1.jpg
dido - 2004/1/5 16:42:00
偶玩的魔力宝贝的一个高级封印就被人盗了删了,害我重新有练个,耽搁我快1年时间,多少万MB啊
:c:
xsx - 2004/1/5 16:45:00
楼上的也玩魔力啊,我在山东牧羊,你哪个区的?
dido - 2004/1/5 16:50:00
偶目前在山东金牛,牧师58,王宫封51,弓50,料理厨师饲养都还30多~~~~北京金牛也在玩,云南放弃了,北京2删了,四川卧龙送人了````````
xsx - 2004/1/5 16:52:00
汗~~~看来没怎么连啊,才50多级。不过我也没怎么连,也是50多级。也是弓、厨师、两个猎人、4个仓库。
xsx - 2004/1/5 16:53:00
跟我一起玩山东的兄弟都80多级了,唉。。。网游太杀时间,现在没兴致了。
dido - 2004/1/5 16:57:00
老大,我一个封一个传教,怎么能练快啊~~~,烧钱都要了我的命了,再说的确很忙,没怎么练。北京2的和四川的都60多,算练过的最高的,不过都没人陪了,所以送的送了,删的删了。你移民步?还是等并站?要是并了以后一起啊~魔力样子小孩了点,但是觉得最耐玩合理:n28:
xsx - 2004/1/5 17:19:00
我是冲着ENIX的金字招牌去的:)
笑笑无邪 - 2004/1/5 20:44:00
嘿嘿,谢谢xsx了,偶下载回去研究研究:f::f::f::f::f:
黄土高坡 - 2004/1/7 12:00:00
什么东东?????
1
查看完整版本: 绝对要看,超搞笑
Powered by Discuz!NT Archiver 3.5.2 2001-2024 Comsenz Inc.