今天忽然收到这么一邮件,刚开始还以为是钓鱼的,后来发现不是。不过瑞星的邮件地址搜索功能还真牛啊?不是从tx那里买的吧 8) ?
注册表非常规启动项
或说某天对一个qq截取聊天记录的东西很感兴趣,于是下载研究了下,结果研究完了软件删除。重启之后发现右下角有弹窗。
简单的用360和msconfig看了下没发现启动项。但是程序确实是后台运行了。 C:\\WINDOWS\\system32\\MySoftware.exe
于是到注册表中搜索,最后终于找到了,不过这个东西倒是可以隐藏启动项来用。效果貌似不错啊。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=""
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"Run"="C:\\WINDOWS\\system32\\MySoftware"
"Device"="Microsoft XPS Document Writer,winspool,Ne00:"
大家注意一下这个【病毒】 ,专门针对delphi的,嵌入源码的病毒。
如果在 X:\Program Files\Borland\Delphi7\Lib 发现有 SysConst.bak (12KB) 和
SysConst.dcu (18KB),那么恭喜你,中招了。
http://topic.csdn.net/u/20090817/20/102ba10b-82ae-472d-a0be-6d54ce6a331b.html
http://bbs.2ccc.com/topic.asp?topicid=330829
http://bbs.2ccc.com/topic.asp?topicid=330760
http://www.delphibbs.com/delphibbs/dispq.asp?lid=3972581
好有趣的感染方式,够可爱了~
今天群的人发了一条链接,关于许多人SysConst.dcu被感染.
被感染后的SysConst.dcu体积是18KB左右,正常的SysConst.dcu是12KB左右.
偷偷瞄了一下偶的SysConst.dcu,竟然被感染了,而且潜伏的时间应该超过4个月~
只是前两天卡巴更新病毒库,卡巴报病毒名为:Virus.Win32.Induc.a,大家才发觉有所不妥.
Nod32官方升级服务器列表
如果你把官方服务器给删除,而又想用ID从官方服务器升级,就添加以下官方服务器吧
http://u21.eset.com/eset_upd/
http://u23.eset.com/eset_upd/
http://u32.eset.com/eset_upd/
http://u33.eset.com/eset_upd/