瑞星卡卡安全论坛

我自己给自己种上个木马。然后，让大家看看怎么应急。希望对新手有所帮助。

1、将木马Backdoor_Win32_SdBot_aad植入系统，重启。完全模拟自然感染。
重启后，发现异常：没连接网络，WINDOWS UPDATE却反复启动。



【注】
（1）SSM2.0官方下载（目前只有英文版）：http://www.syssafety.com/files.html

（2）想用汉化版的朋友，请自己用“百度”在网上搜索。我不提供下载地址。原因：现在网上有的“汉化三次修正版”——卡巴斯基报木马。我不知是否是误报。

附件: 1558472005104185755.jpg

2、由于原因不明，暂时用SSM禁止wuauclt.exe（WINDOWS UPDATE的进程）作为任何程序的父进程或子进程。
此时，发现一个有价值的线索——C:\windows\下有一个可疑程序——spoollv.exe。

附件: 1558472005104185941.jpg

3、第二步操作完成后，SSM通知：wuauclt.exe的MD5值恢复正常。证实：确有木马插入这个进程。

附件: 1558472005104190109.jpg

4、用SSM阻止木马运行。然后，结束木马进程。

附件: 1558472005104190251.jpg

5、提取病毒样本，上报瑞星。也可发到www.mofile.com或自己的网络硬盘，在自己的求助帖中公布文件提取码，以便其它网友提取病毒样本，帮你分析、解决问题。

附件: 1558472005104190523.jpg

6

杀掉木马后，别忘记将WINDOWS UPDATE的父子进程设置恢复到默认状态。

这个木马实际创建两个文件：
1、c:\windows\spoollv.exe
2、c:\windows\system32\spoolv.sys

借助SSM的这些功能，早就应被推广。

好帖子！！！！！！
顶！！！！！！！
谢谢baohe斑竹，收藏了

谢谢.学习了.

菜鸟上:什么是SSM啊?

So good!

非常感谢楼主，我去试试看。

为什么我在使用SSM的时候，已经设置为作为服务启动，但系统启动后SSM却没有启动的情况发生，重新运行SSM提示SSM发生错误可以需要卸载后重新安装，这是什么原因触发的呢？

好帖!学无止境!

斑竹搞的水印很好，不过我认为最好签上ＢＡＯＨＥ的大名为好

10楼：System Safety MonitorTM (SSM) is an application-firewalling tool. SSM controls which programs are running on your computer and what they are doing. For example, SSM can prevent so called "DLL Injection". Also, SSM will notify you whenever a program you want to start was modified. In addittion, SSM can constantly check your registry and alert you, when an important modification was made.

学习~~~~~~~~~

啥是SSM啊?

顶！！！！

What does the 16th floor say?

厉害

呵呵，学习中~~

斑竹搞的水印很好,是防伪的

谢谢版主,可是我下载了SSM哪个东东,它提示,只能用到年底.一后要收费了,好在我的电脑上现在没有发现木马之类的东东,所以没有装它,但还是谢谢版教了一手,用着的时候再学着做吧.版主的水印铸的真好,也很有必要,支持!

引用:

【子阳的贴子】谢谢.学习了. ...........................

我讨厌那些拍马屁的家伙


版主的这种签名还是容易被别人盗用，谁知道到底是谁抄袭谁呀是吧？还是加上个性化的东西好。哪怕把“抄袭可耻”换成“www.ikaka.com”也好啊……

【回复“C++果冻”的帖子】同意你的观点！这样的水印等于没用！不知道作者是谁，最起码著名卡卡社区！

呵呵，怎么把话题都变了？？？？这里应该是谈论SSM的，怎么成了谈论水印了？？？？？？

引用:

【反病毒雄狮的贴子】【回复“C++果冻”的帖子】同意你的观点！这样的水印等于没用！不知道作者是谁，最起码著名卡卡社区！ ...........................

英雄所见略同啊！