El mecanismo de infección del virus de la quema de incienso panda
"Wuhan Boy", comúnmente conocido como "Panda Burning Incense", es un virus gusano infeccioso. Puede infectar exe, com, pif, src, html, asp y otros archivos del sistema. También puede detener una gran cantidad de procesos de software antivirus y eliminar archivos con extensión gho. Este archivo es un archivo de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST, lo que provoca que se pierda el archivo de copia de seguridad del sistema del usuario. todo. El archivo ejecutable exe en el sistema del usuario infectado se ha modificado para que parezca un panda sosteniendo tres varitas de incienso.
1: Copiar archivos
Después de que el virus se ejecute, se copiará a sí mismo en C:\Windows\System32\drivers\spoclsv.exe.
2: Agregar inicio de registro
El virus se agregará al elemento de inicio HKEY_Current_User\Software\Microsoft\Windows\Current Version\Run SVC Share -> C:\Windows\System32 \Drivers\spoclsv.exe
3. Comportamiento del virus
Respuesta: Busque la ventana del escritorio cada 1 segundo, cierre el programa y aparecerán los siguientes caracteres en el título de la ventana:
QQKav, QQAV, firewall, proceso, escaneo de virus, dardos de Internet, antivirus, virus tirano, estrella en ascenso, Jiang Min, Huangshan IE, Super Rabbit, Optimization Master, Trojan Nemesis, Trojan Scavenger, virus QQ, registro Editor, Utilidad de configuración del sistema, Kaspersky Anti-Virus, Symantec Anti-Virus, Duba, Premium Process, Green Eagle PC, Antirrobo de contraseñas, Phage. Buscador auxiliar de troyanos, monitor de seguridad del sistema, negro envuelto para regalo, experto en Winsock, maestro de detección de troyanos en juegos, msctls_statusbar32, pjf(ustc), IceSword.
Y utilice el método de asignación de teclado para cerrar el software de seguridad IceSword.
Agregue el registro para iniciar HKEY_Current_Users\Software\Microsoft\Windows\CurrentVersion\Run SVC Share -> C:\Windows\System32\Drivers\spoclsv.exe
Y detenga lo siguiente procesos en el sistema:
Mcshield.exe, VsTskMgr.exe, naPrdMgr.exe, UpdaterUI.exe, TBMon.exe, scan32.exe, Ravmond.exe, CCenter.exe, RavTask .exe, Rav. exe, RavmonD.exe, RavStub.exe, KVXP.kxp, KVCenter.kxp, KVSrvXP.exe, KRegEx.exe, UIHost. exe, Logo_1.exe, Rundl132.exe
b: haga clic en la página web especificada por el autor del virus cada 18 segundos y use la línea de comando para verificar si hay * * * disfrute en el sistema. Si hay * * *, ejecute el comando net share para cerrar el administrador $ * * * disfrute.
c: descargue el archivo especificado por el autor del virus cada 10 segundos y use la línea de comando para verificar si hay * * * disfrute en el sistema. Si * * * existe, ejecute el comando net share para cerrar el administrador $ * * * disfrute.
d: Elimina el valor clave del software de seguridad en el registro cada 6 segundos.
Y modifique el siguiente valor para no mostrar archivos ocultos HKEY_Local_Machine\Software\Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hide\Show All Check Value -> 0x00
Elimine los siguientes servicios:
navapsvc, wscsvc, KPfwSvc, SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec Core LC, NPFMntor MskService, FireSvc
e: Archivos infectados
El virus infectará archivos con extensiones como EXE, PIF, COM, SRC, etc., se adjuntará al encabezado del archivo y agregará una extensión de archivo con HTM, HTML, ASP, PHP, JSP, aspx. , etc. URL. Una vez que el usuario abre el archivo, IE continuará haciendo clic en la URL escrita en segundo plano para aumentar el número de clics, pero el virus no infectará archivos con los siguientes nombres de carpeta:
Windows, Winnt, información del volumen del sistema, Papelera de reciclaje, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Archivos públicos, Aplicaciones ComPlus, Messenger, Información de instalación de InstallShield, MSN, Microsoft Frontpage, Movie Maker, MSN Gamin Zone
g: Eliminar archivos
El virus eliminará archivos con la extensión gho, que es un archivo de copia de seguridad de la herramienta de copia de seguridad del sistema GHOST, lo que provocará la pérdida de los archivos de copia de seguridad del sistema del usuario.
Actualmente, el niño de Wuhan, fundador del virus, ha sido detenido por la policía. . .
==========
Código de virus:
Hay una llamada nueva versión de Panda Burning Incense en alguna parte.
Basándome en las cadenas y artículos de loveboom, realicé una investigación en profundidad.
No me atrevo a guardármelo para mí, así que lo comparto de la siguiente manera.
GameSetup.exe
1. Desembalaje:
FSG 2.0->;bart/xt
Borland Delphi 6.0 - 7.0< / p>
ep:
00400154G gt; 8725 f4d 24100 xchg dword ptr ds: [41d2f 4], esp
0040015A 61 popad
0040015B 94 xchg eax, esp
0040015C 55 push ebp
0040015D A4 movs byte ptr es: [edi], byte ptr ds: [e gt;
0040015E B6 80 mov dh, 80
00400160 FF13 llamada dword ptr ds:[ebx]
00400162 ^73 F9 jnb juego corto Setu.0040015D
. /p>
004001CC 40 inc eax
004001cd ^ 78 F3 js juego corto tu 004001 C2
004001CF 75 03 jnz juego corto tu 004001d 4
004001d 1-FF63 0C jmp dword ptr ds: [ebx C]; FF53 14 call dword ptr ds: [ebx 14]
004001d 9 AB stos dword ptr es: [EDI]
004001da ^ EB ee jmp juegos cortos etu.
OEP:
0040D278 55 push ebpURLMON.702B0000
0040D279 8BEC mov ebp, esp
0040D27B 83C4 E8 agregar esp, -18
0040D27E 53 push ebx
0040D27F 56 push esi
0040D280 33C0 xor eax,eax
0040d 282 8945 E8 mov dword ptr ss: [ebp- 18], eax
0040d 285 8945 EC mov dword ptr ss: [ebp-14], eax
0040D288 B8 C8D14000 mov eax, GameSetu.0040D1C8
0040d 28d E8 5677 ffff call gamesetu 004049 E8
La referencia de la cadena de texto está en GameSetu:
Cadena de texto de desmontaje de direcciones
0040626A mov eax,gamesetu.004069 D8 ASCII " exploración de virus "
00406296 mov eax,GameSetu.004069EC ASCII "NOD32 "
004064B0 mov
eax,GameSetu.00406AB4 ASCII "Symantec Anti-Virus"
004064E2 mov eax,GameSetu.00406AD0 ASCII "Duba"
00406514 mov eax,GameSetu.00406AE0 ASCII "Respeto Proceso"
0040660E mov eax, GameSetu.00406B44 ASCII "Monitor de seguridad del sistema"
00406640 mov eax, GameSetu.00406B64 ASCII "Regalo envuelto Black Boy"
00406672 mov eax , gamesetu 00406 b80 ASCII "Winsock Expert"
0040670 e push gamesetu 00406 bc0 ASCII "MSC TLS_status bar 32"
00406748 mov eax, gamesetu 00406 BDC ASCII "pjf( ustc)"
004067E4 empuja GameSetu.00406BE8 ASCII "espada de hielo"
00406826 mov eax,gamesetu.00406 bfc ASCII "MC escudo.exe"
00406830 mov eax, gamesetu 00406 c 14 ASCII " vstskmgr . exe "
0040683A mov eax, gamesetu 00406 C2C ASCII " naprdmgr . exe "
00406844 mov eax ,gamesetu.00406 c44 ASCII "actualizar Rui.exe"
0040684E mov eax,gamesetu.00406 c5c ASCII "TB mon.exe"
00406858 mov eax,gamesetu.00406 c70 ASCII "escaneo 32 .exe "
00406862 mov eax, gamesetu. 00406 c84 ASCII " rav mond . exe "
0040686C mov eax, gamesetu. 00406 c98 ASCII " ccenter "
00406880 mov eax,GameSetu.00406CC0 ASCII "Rav.exe"
0040688A mov eax,gamesetu.00406 cd0 ASCII "rav mon.exe"
00406894 mov eax,gamesetu.00406 ce 4 ASCII "rav mond.exe"
0040689E mov eax,gamesetu.00406 cf8 ASCII " rav stub .exe "
004068
A8 mov eax, juegotu 00406 d0c ASCII " kvxp . kxp "
004068B2 mov eax, juegotu 00406 d20 ASCII " kvmonxp . kxp "
004068BC mov eax, juegotu . ASCII " kv center . kxp "
004068C6 mov eax, gamesetu .00406 d4c ASCII " kvsrvxp . exe "
004068D0 mov eax, gamesetu .
004068DA mov eax, gamesetu.00406 d74 ASCII " ui host . exe "
004068E4 mov eax, gamesetu 00406 d88 ASCII " troj die . kxp "
004068F8 mov eax,gamesetu.00406 d0c ASCII "kvxp.kxp"
00406902 mov eax,gamesetu.00406 d20 ASCII " kvmonxp . kxp "
0040690C mov eax, gamesetu 00406 d34 ASCII " kv center . kxp "
00406916 mov eax, gamesetu 00406 d4c ASCII " kvsrvxp . exe "
00406920 mov eax, gamesetu.00406 d60 ASCII " kre gex . exe "
0040692A mov eax, gamesetu 00406 d74 ASCII " ui host . exe "
00406934 mov eax,gamesetu.00406 d88 ASCII "troj die.kxp"
0040693E mov eax,gamesetu. 00406 db4 ASCII "logotipo 1 _.
exe "
00406952 mov eax, gamesetu. 00406 dc8 ASCII " Logo _ 1. exe "
0040695C mov eax, gamesetu. 00406 DDC ASCII " rundl 132. exe "
00406966 mov eax,gamesetu.00406 df4 ASCII "regedit.exe"
00406970 mov eax,gamesetu 00406 e08 ASCII "msconfig.exe"
0040697A mov eax, gamesetu .00406 e20 ASCII " taskmgr . exe "
00406E44 mov eax, gamesetu 00407014 ASCII "Programación"
00406E4E mov eax, gamesetu 00407028 ASCII "acceso compartido"
00406E58 mov eax,gamesetu 00407040 ASCII "centro RSC"
00406E62 mov eax,gamesetu 00407054 ASCII "RsRavMon"
00406E6C mov eax,gamesetu . Centro RSC "
00406E76 mov eax, gamesetu. 0040706 c ASCII " RsRavMon "
00406E80 mov edx, gamesetu. 00407080 ASCII " SOFTWARE\Microsoft\Windows\current version\Run\rav tarea "
00406E8F mov eax, GameSetu.004070C0 ASCII "KVWSC "
00406E99 mov eax, GameSetu.004070D0 ASCII "KVSrvXP "
00406EA3 mov eax, GameSetu 004070D8 ASCII "KVWSC" \ Run \ KvMonXP "
00406EC6 mov eax,gamesetu.00407130 ASCII " kav SVC "
00406ED0 mov eax,GameSetu.00407140 Código ASCII "AVP"
00406EDA mov eax,gamesetu 00407144 ASCII "AVP"
00406EE4 mov eax,gamesetu.
00407148 ASCII " kav SVC "
00406EEE mov edx,gamesetu 00407158 ASCII "SOFTWARE\Microsoft\Windows\current version\Run\kav"
00406EFD mov edx,gamesetu. " SOFTWARE \ Microsoft \ Windows \ versión actual \ Run \ kav personal 50 "
00406F0C mov eax, gamesetu 004071 D8 ASCII " McAfee framework "
00406F16 mov eax, gamesetu . 0 ASCII " McShield "
00406F20 mov eax, juegosetu 00407204 ASCII " McTaskManager "
00406F2A mov eax, juegosetu 00407214 ASCII " McAfee framework "
00406F34 mov eax,gamesetu.00407224 ASCII "McShield"
00406F3E mov eax,gamesetu. versión actual\Ejecutar\McAfee updaterui "
00406F57 mov edx,gamesetu.00407290 ASCII "SOFTWARE\Microsoft\Windows\versión actual\Ejecutar\Network Associates Error Reporting Service"
00406F66 mov edx, gamesetu 004072 F4 ASCII "SOFTWARE\Microsoft\Windows\current version\Run\ShStatEXE"
00406F75 mov eax, gamesetu 0040732 c ASCII "navapsvc"
00406F7F mov eax. , GameSetu.00407338 ASCII "wscsvc "
00406F89 mov eax, GameSetu.00407340 ASCII "KPfwSvc "
00406F93 mov eax, GameSetu.00407348 ASCII "SNDSrvc "
00406F9D mov eax, GameSetu.00407350 ASCII "ccProxy "
00406FA7 mov eax, gamesetu 00407358 ASCII " cceve.
tmgr "
00406FB1 mov eax,gamesetu . 00407364 ASCII " ccSetMgr "
00406FBB mov eax,gamesetu . 00407370 ASCII " SPBBCSvc "
00406FC5 mov eax,gamesetu 0040737 c ASCII " Symantec Core LC "
00406FCF mov eax,gamesetu 00407390 ASCII " NPF mentor "
00406FD9 mov eax,gamesetu . p>
00406FE3 mov eax,GameSetu.004073A8 ASCII "FireSvc"
00406FED mov edx,gamesetu.004073 b8 ASCII "SOFTWARE\Microsoft\Windows\actual version\Run\ylive.exe"< / p>
00406FFC mov edx,gamesetu.004073 F8 ASCII "SOFTWARE\Microsoft\Windows\current version\Run\yassisse"
004075D5 mov ecx,GameSetu.0040764C ASCII ":\"
004079FF mov edx, GameSetu.00407AF4 ASCII "buscar"
00407A04 mov eax, gamesetu 00407 b04 ASCII " = nb { end ' w { g gt; ispy gt, .ps~* bb ? 2 'GM 12 & mmeb | 'lwl' swi: & 9ibmnlwispy gt, .ps~*bb? 2 ' GM . , Puntero de cadena
0040 aa 18 8945 BC mov dword ptr ss: [ebp-44], eax puntero de cadena guardar
0040AA1B 8D55 B4 lea edx, dword ptr ss: [ebp - 4C]; puntero de bucle, inicio
0040AA1E 8B45 E0 mov eax, dword ptr ss: [ebp-20]
...
0040AA31 8B45 BC mov eax, dword ptr ss: [ebp-44]
0040 aa 34 FF30 push dword ptr ds: [eax]
0040AA36 8D45 B8 lea eax, dword ptr ss: [ebp - 48];Objetivo 1
0040AA39 BA 0
4000000 mov edx, 4
0040AA3E E8 4995FFFF llamando a GameSetu.00403F8C
0040AA43 8B55 B8 mov edx, dword ptr ss: [ebp-48]
0040AA46 8B45 FC mov eax, dword ptr ss: [ebp-4]
0040AA49 E8 7AFDFFFF llamando a GameSetu.0040A7C8
0040AA4E 85C0 prueba eax, eax
0040 aa 50 0f 84 4e 020000 je gamesetu 0040 ACA 4
6A 00 push 0
0040AA58 8D55 AC lea edx, dword ptr ss: [ebp-54];
0040AA5B 8B45 E0 mov eax, dword ptr ss: [ebp-20]
0040 aa5e E8 ad 9 bffff call gamesetu 004610
...
<. p>0040AA6E 8B45 BC mov eax, dword ptr ss: [ebp-44]0040 aa 71 FF30 push dword ptr ds: [eax]
0040AA73 68 64AD4000 push gamesetu. anuncio 64; ASCII "GameSetup.exe "
0040AA78 8D45 B0 lea eax, dword ptr ss: [ebp-50]; p>
0040AA80 E8 0795FFFF llamando a GameSetu.00403F8C
0040AA85 8B45 B0 mov eax, dword ptr ss: [ebp-50]
0040AA88 E8 3F96FFFF llamando a GameSetu.004040CC p>
...
0040AA99 68 7CAD4000 push gamesetu .0040 ad 7 c; ASCII "controlador"
0040AA9E 68 90AD4000 push gamesetu . " spo0lsv.exe "
0040AAB9 E8 2EA0FFFF llama a GameSetu.00404AECjmp a KERNEL32. Copie el archivo a
...
0040AB80 E8 83FAFFFF y llame a GameSetu.0040A608jmp a netapi32. NetRemoteTOD
0040AC07 E8 F4F9FFFF llama a GameSetu.0040A600jmp a netapi32.
NetScheduleJobAdd
...
0040AC6B B8 A4AD4000 mov eax, gamesetu 0040 ada 4; ASCII "admin$ "
0040AC70 E8 4BA4FFFF llamando a GameSetu.004050C0
0040AC75 84C0 prueba de aluminio, aluminio
0040 AC 77 75 2B jnz juego corto 0040 ACA 4
...
0040ACA4 8345 BC 04 add dword ptr ss: [ebp-44], 4
0040ACA8 FF4D D4 centro
0040 acab ^ 0f 85 6 afdfffff jnz gamesetu 0040 aa 1b;
dd 0040E0F0
0040 e0f 0 0040 a828 gamesetu 0040 a828; Los siguientes son los objetivos del ataque
0040E0F4 0040A834 ASCII "\Document and Settings\All Users\Start. Menú\ Programa\Inicio"
0040 e0f 8 0040 a87c gamesetu . 0040 a87c
0040 e0fc 0040 a8c 0 ASCII "\WINDOWS\Menú Inicio\Programa\Inicio"
0040 e 100 0040 a8f 0 ASCII "\WINNT\Profile\Todos los usuarios\Menú Inicio\Programas\Inicio"
0040E104 00000000
0040 e 108 0040 ADB 4 ASCII " 1234 ";La siguiente es la contraseña del diccionario
0040E10C 0040ADC4 ASCII "contraseña"
0040 e 110 0040 agregar 8 ASCII " 6969 "
0040 e 114 0040 ade 8 Código ASCII "Harley"
0040 e 118 0040 adf8 ASCII " 123456 "
0040 e 11C 0040 AE 08 ASCII "Golf"
0040 e 120 0040 AE 18 ASCII "coño"
0040E124 0040AE28 ASCII "Mustang"
0040 e 128 0040 AE 38 ASCII " 1111 "
0040E12C 0040AE48 ASCII "Sombra"
p>
0040 e 130 0040 AE 58 ASCII " 1313 "
0040E134 0040AE68 ASCII "pez"
0040 e 138 0040 AE 78 ASCII " 5150 "
0040 e 13C 0040 AE 88 ASCII " 7777 "
0040 e 140 0040 AE 98 ASCII " qwerty "
0040E144 0040AEA8 ASCII "Béisbol"
0040 e 148 0040 aebc ASCII " 2112 "
0040
e 14C 0040 aecc ASCII " déjame "
0040 e 150 0040 aedc ASCII " 12345678 "
0040 e 154 0040 AEF 0 ASCII " 12345 "
0040 e 158 0040 af 00 ASCII " CCC "
0040 e 15C 0040 af0c ASCII " admin "
0040 e 160 0040 af 1C ASCII " 5201314 "
0040 e 164 0040 af2c ASCII " QQ 520 "
0040 e 168 0040 af3c juegosetu 0040 af3c
0040 e 16C 0040 af 48 ASCII " 12 "
0040. e 170 0040 af54 ASCII " 123 "
0040 e 174 0040 af60 ASCII " 1234567 "
0040 e 178 0040 af 70 ASCII " 123456789 "
0040 e 17C 0040 af 84 ASCII " 654321 "
0040 e 180 0040 af94 ASCII " 54321 "
0040 e 184 0040 AFA 4 ASCII " 111 "
0040 e 188 0040 AFB 0 ASCII " 000000 "
0040 e 18C 0040 AFC 0 ASCII " ABC "
0040E190 0040AFCC ASCII "pw "
0040 e 194 0040 AFD 8 ASCII " 111111111 "
0040 e 198 0040 afec ASCII " 8888888 "
0040E19C 0040B000 ASCII "aprobado"
0040 e 1a 0 0040 b 010 ASCII" passwd"
0040E1A4 0040B020 ASCII "Base de datos"
0040 e 1 A8 0040 b034 ASCII " ABCD "
0040 e 1AC 0040 b044 ASCII " ABC 123 "
0040E1B0 0040B000 ASCII "pass"
0040E1B4 0040B054 Código ASCII " sybase "
0040 e 1B8 0040 b064 ASCII " 123 qwe "
0040E1BC 0040B074 ASCII "Servidor"
0040E1C0 0040B084 ASCII "Computadora"
0040 e 1 C4 0040 b098 ASCII " 520 "
0040 e 1 c8 0040 b0a 4 ASCII " super "
0040 e 1CC 0040 b0b 4 ASCII " 123 ASD "
0040 E 1D 0 0040 B0C 4 Gamesetu. ASCII "Habilitar"
0040 e 1 E0 0040 b 108 ASCII " b 124 ASCII " 2003 "
0040 e 1EC 0040 b 134 ASCII " 2600 "
0040 e 1f 0 0040 b 144 ASCII " alfa "
0040 e 1 F4 0040 b 154 ASCII " 110 "
0040 e 1 F8 0040 b 160 ASCII " 111111 "
0040 e 1FC 0040 b 170 ASCII " 121212 "
0040 e200 0040 b 180 ASCII " 123123 "
0040 e204 0040 b 190 ASCII " 1234 qwer "
0040 e208 0040 b 1 a4 ASCII " 123 ABC "
0040 e20c 0040 b 1 B4 ASCII "007"
0040E210 0040B1C0 Configuración del juego
0040 e 214 0040 b 1CC ASCII " AAA "
0040 e 218 0040 b 1d 8 ASCII " Patrick "
0040 e 21C 0040 b 1e 8 ASCII " pat "
0040E220 0040B1F4 ASCII "Administrador"
0040E224 0040B20C ASCII "Raíz"
0040E228 0040B21C ASCII "Género"
0040E22C 0040B228 ASCII "Dios"
0040E230 0040B234 ASCII "*tú "
0040E234 0040B244 ASCII "* "
0040 e238 0040 AFC 0 ASCII "ABC"
0040E23C 0040B254 ASCII "prueba"
0040 e240 0040 b264 ASCII "prueba 123 "
0040 e244 0040 b274 ASCII "temp"
0040 e248 0040 b284 ASCII "temp 123 "
0040 e24c 0040 b294 ASCII "win"
0040E250 0040B2A0 ASCII "pc "
0040E254 0040B2AC ASCII "asdf "
0040E258 0040B2BC
ASCII "pwd "
0040E25C 0040B2C8 ASCII "qwer "
0040E260 0040B2D8 ASCII "yxcv "
0040E264 0040B2E8 ASCII "zxcv "
0040E268 0040B2F8 ASCII "casa"
0040E26C 0040B308 Código ASCII "xxx"
0040E270 0040B314 ASCII "propietario"
0040E274 0040B324 ASCII "iniciar sesión"
0040E278 0040B334 ASCII "Iniciar sesión"
0040 e27c 0040 b344 ASCII " pw 123 "
0040E280 0040B354 ASCII "Amor"
0040E284 0040B364 ASCII mi pase "
0040 e294 0040 b3a 8 ASCII " mypass 123 "
0040 e298 0040 B3 BC ASCII " 901100 "
0040E29C 0040B3CC ASCII "Administrador"
p>
0040E2A0 0040B3E4 ASCII "Invitado"
0040E2A4 0040B3F4 ASCII "Administración"
0040E2A8 0040B404 ASCII "Raíz"
2.9 Copiar el virus al directorio raíz y genera autorun.inf:
El virus crea un temporizador para generar setup.exe en la ubicación raíz del disco con un ciclo de 6 segundos.
Y utilizando la correlación AutoRun Open, el virus puede ejecutarse automáticamente cuando el usuario hace clic en el disco infectado.
0040C374 68 7CBE4000 Push GameSetu.0040BE7C cuerpo de ejecución
0040C379 68 70170000 push 1770; tiempo 6000 milisegundos
0040C37E 6A 00 push 0
0040C380 6A 00 push 0
0040C382 E8 BD88FFFF llamando a gamesetu 00404 c 44; Configura el temporizador
Copia el virus en cada partición y llámalo setup.exe, crea autorun.inf:
0040BEC6 E8 BDFDFFFF llama a GameSetu.0040BC88
0040BCCC E8 7B8EFFFF llama a GameSetu.00404B4Cjmp a KERNEL32.
GetDriveTypeA
0040BF9F B9 F4C24000 mov ecx, juegosetu 0040 C2 f 4; ASCII ":\setup.exe "
0040BFC4 B9 08C34000 mov ecx, juegosetu . :\autorun.inf "
0040 c 08 a E8 5d 8 AFFF llama GameSetu.00404AECjmp a KERNEL32. Copiar archivo a
0040 c 11D BA 20c 34000 mov EDX, gamesetu 0040 c 320; ASCII "[Ejecución automática]
Demasiado contenido. Ve a mi espacio y encuéntralo. tú mismo
Llama mi nombre
.