微点交流论坛

标题: 过微点的病毒 [打印本页]

作者: 恐怖的美丽 时间: 2008-4-1 22:43 标题: 过微点的病毒

因为程序不是有害的所以微点冇有报,呵呵,但是这是病毒的一部分.

[ Last edited by 恐怖的美丽 on 2008-4-2 at 08:36 ]

作者: 恐怖的美丽 时间: 2008-4-1 22:44
要原文件的联系QQ379468150

作者: 恐怖的美丽 时间: 2008-4-1 22:45
虽然是过了,我们一定要支持微点,发这个视频的作用是为了让我们了解微点不是很完善,微点离不开我们的支持！

作者: 046569 时间: 2008-4-2 00:06
我分析过了，归纳下结果：
1.它首先创建了npf.sys packet.dll wpcap.dll pthreadVC.dll 这几个文件
2.然后运行了alg.exe
3.接着删除自身
4.加载并安装NPF的服务
5.ping 百度来实现延时
6.清空ARP缓存
从以上行为可以看出，这是Win32.Troj.AutoRun病毒的一部分，其实就是winpcap的安装。这些操作无害，所以微点没报警。

作者: 恐怖的美丽 时间: 2008-4-2 08:31
生成的文件如下:
%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn