小京兒的秘密花園

最近三總內部很流行這三隻=.=

處理到很無聊就隨便的Po了上來一些相關資訊

TSPY_LINEAGE.BAX 產生檔為viDll.dll 主程式為rundl132.exe 機碼參數為load

TSPY_LINEAGE.BAK 產生檔為PDLL.dll 主程式為svchost32.exe

寫入機碼直接在Run=.=參數fzg

這檔案在C:\WINNT\Config\ 並且會產生一些檔案至Program Files\Internet Explorer\底下

TSPY_LINEAGE.BCB 產生檔為dllf.dll 主程式為c:\winnt\svchost.exe

寫入機碼要注意一下userinint部分, 和之前的.ATB一樣將逗點後面那部分刪除即可

Userinit  C:\WINNT\system32\userinit.exe <--正確應為如此

這些TSPY_LINEAGE相關病毒真沒創意=.=抄來抄去

今天由於Officescan又不能刪除的情況下

小京又再度出動殺毒了, 這次的目標是病歷室, 一到現場找到該電腦後

由於病毒不斷產生物件並載入所以老方法先進去工作管理員關掉=.=

打開工作管理員後又看到一些老朋友了 svhost32.exe rundl132.exe svhost32.exe

這次的病毒真沒創意, 不過有兩個svhsot32.exe喔要注意, 把以上程序都先關閉後

病毒Log就不會產生了, 之後開始進度regedit查看一下

圖

果然是很沒創意的病毒, 把fzg mx ryy等機碼刪除後, 順便來砍病毒檔案

在這些機碼後面的就可以找到檔案位置

圖

值得注意的是這邊有許多生成的檔案可以順便刪除af d1 d2 e1 mx這種包含.dat都砍