您現在的位置: 首頁 > 技術支持 > 病毒樣本收集
 病毒樣本上報獎勵說明:
   為了能夠及時捕獲新出現的病毒, 請廣大用戶將病毒樣本提交到我們的反病毒中心。冠群金辰將對提供有效樣本的用戶給予獎勵。
* 一套 KILL 單機版或一年有效注冊碼。
  有效樣本:當前kill病毒庫版本無法檢測到并經分析確認是新病毒的樣本文件。
* 對于多次提供樣本的用戶,將采取積分形式。(詳細的積分規則以及獎勵政策將稍后正式公布)

病毒樣本提交: 當您發送樣本后,我們會有專人進行處理。如遇到發送失敗或退回,請及時聯系我們的客服[email protected] 電話:010-58819055

 病毒樣本提取說明:

* 蠕蟲/特洛伊類

  這是目前最常見的病毒了,這類病毒一般不感染其它的正常可執行文件,它會像正常的軟件一樣"安裝"在系統中,只不過"安裝"過程是秘密的。它們一般會更改系統配置文件及注冊表:

一、更改系統的相關配置文件。 這種情況主要是針對95/98/me系統。

   病毒可能會更改autoexec.bat,只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。
  更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的"run="后面加入病毒自身的文件名,或者在system.ini文件中將"shell="更改。

二、更改注冊表健值。
   目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作。它們修改的位置一般有以下幾個地方:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
說明:在系統啟動時自動執行的程序

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
說明:在系統啟動時自動執行的系統服務程序

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
說明:在系統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza="cxsgrhcl.exe autorun"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell\
說明:這里的缺省值是 Explorer.exe ,有的病毒會在Explorer.exe 后面增加 xxxx.exe的病毒文件。

HKEY_CLASSES_ROOT\exefile\shell\open\command
說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實現病毒自動運行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
*有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableRegistryTools =

* 感染文件的病毒(文件型)
   此類病毒現在已經不是很常見了(在dos/Win3x時代是最常見的,進入win9x之后最有名的是CIH)。此類病毒最明顯的特征是將自身代碼加入到正常文件中,因此一般情況下(也有特例,使用壓縮功能將代碼放置于文件的冗余處使得文件長度不變)受感染的文件字節長度會增加。
   簡單的判斷方法是與正常的系統文件進行比較,字節增加的就是可疑文件。如果不放心可使用系統自帶的比較命令"fc.exe"進行比較:
例如:將可疑的notepad.exe文件改名為notepad-vir.exe,再將此文件與正常的notepad.exe文件放在同一個目錄中,執行:fc notepad-vir.exe notepad.exe 如果不同,則會提示兩個文件的不同代碼位置。

* js腳本類
   此類病毒很多利用ie漏洞進行傳播,一般都是.js、.htt、.as等類型文件。比如redlof更改系統的folder.htt文件。這類病毒有的會更改本地的網頁文件(asp,htm,php等),一般會在正常文件后部增加javascript的腳本代碼。

* 宏病毒類
   此類病毒取樣本更簡單些,可直接將word、excel、powerpoint的模版文件(Word 為 Normal.dot、Excel 位于 xlStart 目錄下所有文件)。拷貝下來即可。

  在病毒已經激活的情況下,比較常見的病毒都可通過以上方法找到其樣本文件。另外,對于通過郵件傳播的病毒也可查找outlook的收件夾。包含附件是:.exe,.scr,.pif的特殊郵件很有可能是病毒郵件。


2012伦敦奥运怎么玩