팬더 분향 바이러스의 감염 메커니즘

"우한 소년", 일반적으로 "팬더 향" 으로 알려진 전염성 웜 바이러스입니다. Exe, com, pif, src, html, ASP 등의 파일을 시스템에 감염시킬 수 있으며, 대량의 바이러스 백신 소프트웨어 프로세스를 중단하고 확장자가 gho 인 파일을 삭제할 수 있습니다. 이 파일은 시스템 백업 도구 고스트의 백업 파일이므로 사용자의 시스템 백업 파일이 손실됩니다. 모두. 감염된 사용자 시스템의 exe 실행 파일이 세 개의 향을 들고 있는 판다의 모양으로 변경되었습니다.

1: 파일 복사

바이러스가 실행되면 c: \ windows \ system32 \ drivers \ spoclsv.exe 로 복사됩니다.

2: 레지스트리 부트 추가

이 바이러스는 시작항목 HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ SVC 공유 실행-> c: \ windows \ system32 \ drivers 에 추가됩니다

3. 바이러스 행동

A: 1 s 마다 데스크톱 창을 찾고, 프로그램을 닫고, 창 제목에 다음 문자가 나타납니다.

QQKav, QQAV, 방화벽, 프로세스, 바이러스 검사, 인터넷 다트, 바이러스 백신, 독패, 서성, 강민, 황산 IE, 슈퍼 토끼, 최적화 마스터, 트로이 천적, 트로이 청소부, QQ 바이러스, 레지스트리 편집기, 시스템 구성이 실용적입니다 트로이 보조 찾기, 시스템 보안 모니터, 가방 선물 블랙 애버딘, Winsock 전문가, 게임 트로이 테스트 마스터, msctls_statusbar32, pjf(ustc), IceSword.

키보드 매핑 방법을 사용하여 보안 소프트웨어 IceSword 를 닫습니다.

레지스트리를 추가하여 HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ SVC 공유 실행-> c: \ windows \ system32 \ drivers \

시스템에서 다음 프로세스를 중지합니다.

Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, CCenter.exe, ravms RavStub.exe, KVXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost. Exe, Logo_ 1.exe, Rundl 132.exe

B: 바이러스 작성자가 지정한 웹 페이지를 18 초마다 한 번 클릭하여 명령줄에 * * * 이 있는지 확인합니다. * * * 가 있는 경우 net share 명령을 실행하여 admin $ * * * enjoyment 를 종료합니다.

C: 10 초마다 바이러스 작성자가 지정한 파일을 다운로드하고 명령줄을 사용하여 시스템에 * * * 이 있는지 확인합니다. * * * 가 있는 경우 net share 명령을 실행하여 admin $ * * * enjoyment 를 종료합니다.

D: 레지스트리에서 보안 소프트웨어의 키 값을 6 초마다 삭제합니다.

숨겨진 파일 HKEY _ 로컬 _ 시스템 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ 탐색기 \ 고급 \ 폴더 \ 숨기기 \ 모든 검사 값 표시 -> 0x00 을 표시하지 않도록 다음 값을 수정합니다

다음 서비스를 삭제합니다.

Navapsvc, wscsvc, KPfwSvc, SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, npfmntor

E: 감염된 문서

이 바이러스는 EXE, PIF, COM, SRC 등의 확장자를 가진 파일을 감염시키고 파일 머리에 자신을 부착하며 HTM, HTML, ASP, PHP, JSP, aspx 등의 확장자를 가진 URL 을 파일에 추가합니다. 사용자가 파일을 열면 IE 는 백그라운드에서 작성된 웹 주소를 계속 클릭하여 클릭 횟수를 늘리지만 바이러스는 다음 폴더 이름의 파일을 감염시키지 않습니다.

Windows, Winnt, 시스템 볼륨 정보, 휴지통, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer InstallShield 설치 정보, MSN, Microsoft Frontpage, Movie Maker, MSN Gamin Zone

G: 파일 삭제

바이러스는 확장자가 gho 인 파일을 삭제합니다. 이 파일은 시스템 백업 도구인 GHOST 의 백업 파일이므로 사용자의 시스템 백업 파일이 손실됩니다.

현재, 그 바이러스의 창시자인 우한 남학생은 이미 경찰에 체포되었다. 。 。

= = = = = = = = = = = = =

바이러스 코드:

어딘가에 이른바 신판 판다가 분향을 한다.

Loveboom 의 문자열과 문장, 나는 심도 있는 연구를 진행했다.

독차지하지 못하고 아래와 같이 나누다.

GameSetup.exe

1. 탈피:

Fsg 2.0->; Bart/xt

Borland Delphi 6.0-7.0

Ep:

00400154g > 8725f4d24100xchg dword ptrds: [41d2f4], esp

00400 15A 6 1 popad

00400 15B 94 xchg eax, esp

00400 15C 55 푸시 ebp

00400 15D A4 movs 바이트 ptr es:[edi], 바이트 ptr ds:[e & gt；;

00400 15E B6 80 mov DH, 80

00400 160 FF 13 전화 dword ptr ds:[ebx]

00400162 73f9 jnb 짧은 게임 Setu.00400 15D

...

00400 1CC 40 Inc eax

004001CD 78f3js short gamesetu.004001C2

004001cf 75 03 jnz short gamesetu.004001D4

004001d1-ff630c jmp dword ptr ds: [ebx+c]; GameSetu.0040D278, OEP

00400 1D4 50 eax 푸시

00400 1D5 55 ebp 푸시

00400 1D6 FF53 14 전화 dword ptr ds:[ebx+ 14]

004001d9ab stos dword ptres: [EDI]

004001da EB ee jmp short games etu.004001ca

OEP:

0040D278 55 ebpURLMON.702B0000 푸시

0040D279 8BEC mov ebp, esp

0040D27B 83C4 E8 esp 추가,-18

0040D27E 53 ebx 푸시

0040D27F 56 ESI 추진

0040D280 33C0 xor eax, eax

0040d282 8945e8mov dword ptrss: [ebp-18], eax

0040d285 8945ec mov dword ptrss: [ebp-14], eax

0040 d288b8 c8d14000 moveax, GameSetu.0040D 1C8

0040d28de8 5677 ffff 콜 가메setu.004049e8

텍스트 문자열 참조는 GameSetu 에 있습니다.

주소 해체 텍스트 문자열

0040626A mov eax, gamesetu.004069 D8 ascii "virusscan"

00406296 mov eax, GameSetu.004069EC ASCII "NOD32 "

004064B0 mov eax, GameSetu.00406AB4 ASCII "시만텍 안티바이러스"

004064E2 mov eax, GameSetu.00406AD0 ASCII "Duba "

004065 14 mov eax, GameSetu.00406AE0 ASCII "프로세스 존중"

0040660E mov eax, GameSetu.00406B44 ASCII "시스템 보안 모니터"

00406640 mov eax, GameSetu.00406B64 ASCII' 포장 선물 블랙 애버딘'

00406672 mov eax, gamesetu.00406 b80 ascii "Winsock 전문가"

0040670e push gamesetu.00406 bc0 ascii "msctls _ status bar32"

00406748 mov eax, gamesetu.00406 BDC ascii "pjf (ustc)"

004067E4 푸시 GameSetu.00406BE8 ASCII "아이스 검"

00406826 mov eax, gamesetu.00406 bfc ascii "mcshield.exe"

00406830 mov eax, gamesetu.00406c14 ascii "vstskmgr.exe"

0040683A mov eax, gamesetu.00406 C2C ascii "naprdmgr.exe"

00406844 mov eax, gamesetu.00406 c44 ascii "updaterui.exe"

0040684E mov eax, gamesetu.00406 c5c ascii "tbmon.exe"

00406858 mov eax, gamesetu.00406 c70 ascii "scan32.exe"

00406862 mov eax, gamesetu.00406 c84 ascii "ravmond.exe"

0040686C mov eax, gamesetu.00406 c98 ascii "ccenter.exe"

00406876 mov eax, gamesetu.00406 CAC ascii "ravtask.exe"

00406880 mov eax, GameSetu.00406CC0 ASCII "Rav.exe "

0040688A mov eax, gamesetu.00406 cd0 ascii "ravmon.exe"

00406894 mov eax, gamesetu.00406 Ce4 ascii "ravmond.exe"

0040689E mov eax, gamesetu.00406 cf8 ascii "ravstub.exe"

004068A8 mov eax, gamesetu.00406 d0c ascii "kvxp.kxp"

004068B2 mov eax, gamesetu.00406d20 ascii "kvmonxp.kxp"

004068BC mov eax, gamesetu.00406d34 ascii "kvcenter.kxp"

004068C6 mov eax, gamesetu.00406 d4c ascii "kvsrvxp.exe"

004068D0 mov eax, gamesetu.00406d60 ascii "kregex.exe"

004068DA mov eax, gamesetu.00406d74 ascii "uihost.exe"

004068E4 mov eax, gamesetu.00406d88 ascii "trojdie.kxp"

004068EE mov eax, gamesetu.00406 d9c ascii "frog agent.exe"

004068F8 mov eax, gamesetu.00406 d0c ascii "kvxp.kxp"

00406902 mov eax, gamesetu.00406d20 ascii "kvmonxp.kxp"

0040690C mov eax, gamesetu.00406d34 ascii "kvcenter.kxp"

004069 16 mov eax, gamesetu.00406d4c ascii "kvsrvxp.exe"

00406920 mov eax, gamesetu.00406d60 ascii "kregex.exe"

0040692A mov eax, gamesetu.00406d74 ascii "uihost.exe"

00406934 mov eax, gamesetu.00406 d88 ascii "trojdie.kxp"

0040693E mov eax, gamesetu.00406 d9c ascii "frog agent.exe"

00406948 mov eax, gamesetu.00406db4 ascii "logo1_. Exe'

00406952 mov eax, gamesetu.00406 dc8 ascii "logo _1.exe"

0040695C mov eax, gamesetu.00406 DDC ascii "rundl132.exe"

00406966 mov eax, gamesetu.00406df4 ascii "regedit.exe"

00406970 mov eax, gamesetu.00406 e08 ascii "msconfig.exe"

0040697A mov eax, gamesetu.00406e20 ascii "taskmgr.exe"

00406E44 mov eax, gamesetu.00407014 ascii' 스케줄'

00406E4E mov eax, gamesetu.00407028 ascii "shared access"

00406E58 mov eax, gamesetu.00407040 ascii "rsccenter"

00406E62 mov eax, gamesetu.00407054 ascii "RS ravmon"

00406E6C mov eax, gamesetu.00407060 ascii "rsccenter"

00406E76 mov eax, gamesetu.0040706c ascii "RS ravmon"

00406E80 mov EDX, gamesetu.00407080 ascii "software \ Microsoft \ windows \ currentversion \ run \ ravtar

00406E8F mov eax, GameSetu.004070C0 ASCII "KVWSC "

00406E99 mov eax, GameSetu.004070D0 ASCII "KVSrvXP "

00406EA3 mov eax, GameSetu.004070D8 ASCII "KVWSC "

00406EAD mov eax, GameSetu.004070E0 ASCII "KVSrvXP "

00406EB7 mov EDX, gamesetu.004070f0 ascii "software \ Microsoft \ windows \ currentversion \ run \ kvmons

00406EC6 mov eax, gamesetu.00407130 ascii "kav SVC"

00406ED0 mov eax, GameSetu.00407 140 ASCII 코드' AVP'

00406EDA mov eax, gamesetu.00407144 ascii "AVP"

00406EE4 mov eax, gamesetu.00407148 ascii "kav SVC"

00406EEE mov EDX, gamesetu.00407158 ascii "software \ Microsoft \ windows \ current version

00406EFD mov EDX, gamesetu.00407194 ascii "software \ Microsoft \ windows \ current version

00406F0C mov eax, gamesetu.004071D8 ascii "McAfee framework"

00406F 16 mov eax, gamesetu.004071F0 ascii "mcshield"

00406F20 mov eax, gamesetu.00407204 ascii "mctaskmanager"

00406F2A mov eax, gamesetu.00407214ascii "McAfee framework"

00406F34 mov eax, gamesetu.00407224 ascii "mcshield"

00406F3E mov eax, gamesetu.00407230 ascii "mctaskmanager"

00406F48 mov EDX, gamesetu.00407248 ascii "software \ Microsoft \ windows \ currentversion \ run \ mcafer

00406F57 mov EDX, gamesetu.00407290 ascii "software \ Microsoft \ windows \ currentversion \ run \ network

00406F66 mov EDX, gamesetu.004072 F4 ascii "software \ Microsoft \ windows \ currentversion \ run \ shstar

00406F75 mov eax, gamesetu.0040732c ascii "navapsvc"

00406F7F mov eax, GameSetu.00407338 ASCII "wscsvc "

00406F89 mov eax, GameSetu.00407340 ASCII "KPfwSvc "

00406F93 mov eax, GameSetu.00407348 ASCII "SNDSrvc "

00406F9D mov eax, GameSetu.00407350 ASCII "ccProxy "

00406FA7 mov eax, gamesetu.00407358 ascii "ccevetmgr"

00406FB 1 mov eax, gamesetu.00407364 ascii "ccsetmgr"

00406FBB mov eax, gamesetu.00407370 ascii "spbcsvc"

00406FC5 mov eax, gamesetu.0040737c ascii "Symantec core LC"

00406FCF mov eax, gamesetu.00407390 ascii "NPF mentor"

00406FD9 mov eax, gamesetu.0040739c ascii "MSK service"

00406FE3 mov eax, GameSetu.004073A8 ASCII "FireSvc "

00406FED mov EDX, gamesetu.004073b8 ascii "software \ Microsoft \ windows \ current version \ run \ y live

00406FFC mov EDX, gamesetu.004073f8 ascii "software \ Microsoft \ windows \ currentversion \ run \ yas sii

004075D5 mov ecx, GameSetu.0040764C ASCII ":\ "

004079FF mov EDX, GameSetu.00407AF4 ASCII "검색"

00407A04 mov eax, gamesetu.00407b04 ascii "= nb {end' w {g > Ispy & gt,.ps~*bb? 2' GM.12 & Mmeb |' lwl' swi:& amp；; 9ibmnlwispy & gt,.ps~*bb? 2' GM.12 & Mmeb |' lwl' swi:& amp；; 9ibmnlwmov dword ptr ss:[ebp-2C], 5

0040aa13b8 f0e04000moveax, gamesetu.0040e0f0; 주소, 문자열 포인터

0040aa18 8945bc mov dword ptrss: [ebp-44], eax 문자열 포인터 저장

0040AA 1B 8D55 B4 lea EDX, dword ptrss: [ebp-4c]; 루프 포인터, 시작

0040AA 1E 8B45 E0 mov eax, dword ptr ss:[ebp-20]

...

0040AA3 1 8B45 BC mov eax, dword ptr ss:[ebp-44]

0040aa34f30push dword ptrds: [eax]

0040AA36 8D45 B8 lea eax, dword ptrss: [ebp-48]; 목표 1

0040AA39 BA 04000000 mov EDX, 4

0040AA3E E8 4995FFFF 호출 GameSetu.00403F8C

0040AA43 8B55 B8 mov EDX, dword ptr ss:[ebp-48]

0040AA46 8B45 FC mov eax, dword ptr ss:[ebp-4]

0040aa49e87afdfff 호출 GameSetu.0040A7C8

0040AA4E 85C0 테스트 eax, eax

0040 aa 50 0f 84 4e 020000je gamesetu.0040 ACA 4

6A 00 푸시 0

0040AA58 8D55 AC lea EDX, dword ptr ss: [ebp-54]; 목표 3

0040AA5B 8B45 E0 mov eax, dword ptr ss:[ebp-20]

0040 aa5e E8 ad 9 bfff 콜 가메setu.004610

...

0040AA6E 8B45 BC mov eax, dword ptr ss:[ebp-44]

0040aa71ff30push dword ptrds: [eax]

0040AA73 68 64AD4000 푸시 gamesetu.0040 ad64; ASCII "GameSetup.exe "

0040AA78 8D45 B0 lea eax, dword ptr ss: [ebp-50]; 목표 2

0040AA7B BA 05000000 mov EDX, 5

0040AA80 E8 0795FFFF 호출 GameSetu.00403F8C

0040AA85 8B45 B0 mov eax, 드워드 ptrss: [ebp-50]

0040AA88 E8 3F96FFFF 호출 GameSetu.004040CC

...

0040AA99 68 7CAD4000 푸시 gamesetu.0040 ad7c; ASCII "드라이버"

0040AA9E 68 90AD4000 푸시 gamesetu.0040 ad90; ASCII "spo0lsv.exe "

0040AAB9 E8 2EA0FFFF 호출 GameSetu.00404AECjmp 에서 KERNEL32 로. 파일 a 복사

...

0040AB80 E8 83FAFFFF 는 netapi32 에 GameSetu.0040A608jmp 를 호출합니다. 넷리모트 테드

0040AC07 E8 F4F9FFFF 는 netapi32 로 GameSetu.0040A600jmp 를 호출합니다. 넷스케이드 (동음이의)

...

0040AC6B B8 A4AD4000 mov eax, gamesetu.0040 ada4; ASCII "admin$ "

0040AC70 E8 4BA4FFFF 호출 GameSetu.004050C0

0040AC75 84C0 테스트 알루미늄, 알루미늄

0040 ac77 75 2b jnz short gamesetu.0040 ACA 4

...

0040ACA4 8345 BC 04 dwordptrss 추가: [ebp-44], 4

0040ACA8 FF4D D4 도심

0040 acab 0f85 6 AFD ffff jnz gamesetu.0040 aa1b;

Dd 0040E0F0

0040 e0f 0 0040 a828 gamesetu.0040 a828; 다음은 공격의 대상이다

0040E0F4 0040A834 ASCII "\ 문서 및 설정 \ 모든 사용자 \ 시작 메뉴 \ 프로그램 \ 시작"

0040 e0f 8 0040 a87c gamesetu.0040 a87c

0040 e0fc 0040 a8c0 ascii "\ windows \ 시작 메뉴 \ 프로그램 \ 시작"

0040e100 0040 a8f 0 ascii "\ winnt \ 프로필 \ 모든 사용자 \ 시작 메뉴 \ 프로그램 \ 시작"

0040E 104 00000000

0040e108 0040 adb4 ascii "1234"; 다음은 사전 비밀번호입니다

0040E 10C 0040ADC4 ASCII "암호"

0040e110 0040 add 8 ascii "6969"

0040e114 0040 ade8 ascii 코드' 할리'

0040e118 0040 ad F8 ascii "123456"

0040e11c0040ae08 ascii' 골프'

0040e120 0040ae18 ascii' 푸시' 입니다

0040E 124 0040AE28 ASCII 코드 머스탱

0040e128 0040 ae38 ascii "1111"

0040E 12C 0040AE48 ASCII' 그림자'

0040e130 0040 ae58 ascii "1313"

0040E 134 0040AE68 ASCII' 물고기'

0040e138 0040 ae78 ascii "5150"

0040e13c0040ae88 ascii "7777"

0040e140 0040ae98 ascii "qwerty"

0040E 144 0040AEA8 ASCII' 야구'

0040e148 0040 aebc ascii "2112"

0040e14c0040 aecc ascii "let mein"

0040e150 0040 aedc ascii "12345678"

0040e154 0040 AEF 0 ascii "12345"

0040e158 0040 af00 ascii "CCC"

0040e15c0040 af0c ascii "admin"

0040e160 0040af1c ascii "5201314"

0040e164 0040 af2c ascii "qq520"

0040e168 0040 af3c gamesetu.0040 af3c

0040e16c0040 af 48 ascii "12"

0040e170 0040 af54 ascii "123"

0040e174 0040 af60 ascii "1234567"

0040e178 0040 af 70 ascii "123456789"

0040e17c0040 af 84 ascii "654321"

0040e180 0040 af94 ascii "54321"

0040e184 0040 afa4 ascii "111"

0040e188 0040 afb0 ascii "000000"

0040e18c0040 afc0 ascii "ABC"

0040e190 0040 afcc ascii "pw"

0040e194 0040 AFD 8 ascii "1111/kloc/

0040e198 0040 afec ascii "8888888"

0040E 19C 0040B000 ASCII "통과"

0040e1A0 0040b010 ascii' passwd'

0040E 1A4 0040B020 ASCII "데이터베이스"

0040e1A8 0040b034 ascii "ABCD"

0040e1ac0040b044 ascii "ABC123"

0040E 1B0 0040B000 ASCII "통과"

0040E 1B4 0040B054 ASCII 코드 "Sybase"

0040e1b8 0040 b064 ascii "123qwe"

0040E 1BC 0040B074 ASCII "서버"

0040E 1C0 0040B084 ASCII "컴퓨터"

0040e1C4 0040 b098 ascii "520"

0040e1c8 0040b0a4 ascii "super"

0040e1cc0040b0b4ascii "123asd"

0040e1d0 0040b0c4 gamesetu.0040b0c4

0040E 1D4 0040B0D0 ASCII 코드' ihavenopass'

0040E 1D8 0040B0E4 ASCII 코드 "godblessyou"

0040E 1DC 0040B0F8 ASCII "활성화"

0040e1E0 0040b108 ascii "XP"

0040e1e40040b114ascii "2002"

0040e1E8 0040b124 ascii "2003"

0040e1ec0040b134 ascii "2600"

0040e1F0 0040b144 ascii "알파"

0040e1F4 0040b154 ascii "110"

0040e1F8 0040b160 ascii "111/kloc/

0040e1fc0040b170 ascii "121212

0040 e200 0040b180 ascii "123123"

0040 e204 0040b190 ascii "1234qwer"

0040 e208 0040b1a4 ascii "123 ABC"

0040 e20c 0040b1B4 ascii' 007'

0040E2 10 0040B 1C0 게임 설정

0040e214 0040b1cc ascii "AAA"

0040e218 0040b1D8 ascii "Patrick"

0040e21c0040b1E8 ascii "pat"

0040E220 0040B 1F4 ASCII "관리자"

0040E224 0040B20C ASCII "루트"

0040E228 0040B2 1C ASCII "성별"

0040E22C 0040B228 ASCII "하느님"

0040E230 0040B234 ASCII "*you "

0040E234 0040B244 ASCII "* "

0040 e238 0040 afc0 ascii "ABC"

0040E23C 0040B254 ASCII "테스트"

0040 e240 0040 b264 ascii "테스트123"

0040 e244 0040 b274 ASCII“temp "

0040 e248 0040 b284 ascii "temp123"

0040 e24c 0040 b294 ASCII“win "

0040E250 0040B2A0 ASCII "pc "

0040E254 0040B2AC ASCII "asdf "

0040E258 0040B2BC ASCII "pwd "

0040E25C 0040B2C8 ASCII "qwer "

0040E260 0040B2D8 ASCII "yxcv "

0040E264 0040B2E8 ASCII "zxcv "

0040E268 0040B2F8 ASCII "home "

0040E26C 0040B308 ASCII 코드 "XXX"

0040E270 0040B3 14 ASCII "소유자"

0040E274 0040B324 ASCII "로그인"

0040E278 0040B334 ASCII "로그인"

0040 e27c 0040 b344 ascii "pw123"

0040E280 0040B354 ASCII 코드' 사랑'

0040E284 0040B364 ASCII "mypc "

0040 e288 0040 b374 ascii "mypc123"

0040 e28c 0040 b384 ascii "admin123"

0040 e290 0040 b398 ascii "내 패스"

0040 e294 0040b3a8 ascii "내 패스123"

0040 e298 0040b3bc ascii "901100"

0040E29C 0040B3CC ASCII "관리자"

0040E2A0 0040B3E4 ASCII "손님"

0040E2A4 0040B3F4 ASCII "관리"

0040E2A8 0040B404 ASCII "루트"

2.9 바이러스를 루트에 복사하고 autorun.inf 생성:

이 바이러스는 6 초 주기로 디스크의 루트 위치에 setup.exe 를 생성하는 타이머를 구축했다.

또한 AutoRun Open correlation 을 사용하면 사용자가 감염된 디스크를 클릭하면 바이러스가 자동으로 실행됩니다.

0040C374 68 7CBE4000 푸시 GameSetu.0040BE7C 실행 주체

0040C379 68 70 170000 푸시1770; 시간 6000 밀리초

0040C37E 6A 00 푸시 0

0040C380 6A 00 푸시 0

0040C382 E8 BD88FFFF 호출 gamesetu.00404c44; 사용자 32 에 jmp. 타이머를 설정합니다

바이러스를 각 파티션에 복사하고 이름을 setup.exe 로 지정하여 autorun.inf 를 만듭니다.

0040BEC6 E8 BDFDFFFF 호출 GameSetu.0040BC88

0040BCCC E8 7B8EFFFF 는 GameSetu.00404B4Cjmp 를 KERNEL32 로 호출합니다. GetDriveTypeA

0040BF9F B9 F4C24000 mov ecx, gamesetu.0040c2f4; ASCII ":\setup.exe "

0040BFC4 B9 08C34000 mov ecx, gamesetu.0040c308; ASCII ":\autorun.inf "

0040 c 08 a E8 5d 8 AFFF 는 GameSetu.00404AECjmp 를 KERNEL32 로 호출합니다. 파일 a 복사

0040c11d ba 20c 34000 mov EDX, gamesetu.0040c320; ASCII "[ 자동 실행]

내용이 너무 많아요. 내 공간에 들어가서 직접 찾아라.

내 이름을 불러.