接上回。1.exe。
PEiD查出来的结果是Upack 0.3.9 beta2s -> Dwing，脱这个壳网上有教程。

我脱出来后再查，PEiD这次查不出来了。我的水平也有限，脱了会儿没成功。

直接运行脱壳后的程序，在filemon里看了下。附件是filemon的结果，以及刚装好系统时和中毒后注册表的对比。

从它生成的文件名来看，的确如网上所言，病毒是针对网游的。
生成的文件也很多，并且11个dll插入EXPLORER。。比较恐怖。

附件是filemon和regsnap比较的原始结果,我还没细看过,注册表比较的比较有意思些

system32下生成的20多个文件,几乎都是用的Upack 0.3.9 beta2s -> Dwing壳.

对了,system32 下有36个文件,忘记算修改过时间的了。
还有program里的netmeeting 里ravdh3mon和ravdhmon

另外我的注册表比较里有一些是我使用软件的正常改动,不要受干扰了.

还有就是由于我的虚拟机只建了一个分区,这个病毒感染其他盘的exe文件过程这次就观察不到了..

hehe 谢谢,呵呵,真的太好了.以前一直把盗号木马比较简单,往往是凭借较高的网速来运作的,不过看了你的报告后,确实有所启发.这个病毒确实是相当强大,而且相当完善了....尤其是在系统控制方面,真的相当强悍...国人的智慧啊,呵呵

嗯，不过没有它新建服务。。。但是插入那么多dll还是很BT了。。
现在OD坏了，只有再找时间试试脱剩下来的了。。。
不知道能不能查到服务器端那边去。。呵呵
这个的威力和威金比起来绝对是有过之而无不及。。有说是威金的变种的，不知详情。。

现在病毒经过国内黑客的修改后,往往是强化它的破坏作用,有很多软件的破坏性之强,估计用在战争状态下的两个国家都不为过.
  呵呵,成功去壳以后,应该能追踪到服务器端吧,不过代理或者肉鸡的可能性比价大,呵呵.打开壳看看,说不定自己就是肉鸡之一呢,

这个倒不像是远程控制的，只是盗号什么的吧。。最好能找到他是怎么传送密码帐号这些的