baohe - 2006-5-13 11:05:00
现在流行插入系统核心进程的木马。还大多是“多线程插入”。一般的查杀方法多不凑效。建议朋友们学习/熟悉一下SSM的使用吧。这个木马类似于那个“变态的灰鸽子”。其主体文件为taskmg.exe。此马植入系统后,插入所有系统进程。与鸽子不同的是,这个木马还有一个更烦人的地方——每秒钟都在写注册表!
卡巴斯基2006年5月13日的病毒库依然不报这只讨厌的木马。
我制服它,还是用SSM。
1、在SSM的“规则”中添加两条规则,禁止其.exe和.dll文件加载(图1),并将SSM设置为“自动加载”。
2、重启系统。删除其注册表项(图2-3)。
3、删除其.exe文件(图4)。
4、删除其.dll文件(图5)。
图1
附件:
1558472006513110505.jpg
baohe - 2006-5-13 11:05:00
baohe - 2006-5-13 11:05:00
baohe - 2006-5-13 11:06:00
baohe - 2006-5-13 11:06:00
zydyj - 2006-5-13 11:11:00
把我吓了一下
taskmg.exe,我看成,taskmgr.exe了
我就是说,这个是,任务管理器 的进程
baohe - 2006-5-13 11:14:00
| 引用: |
【zydyj的贴子】把我吓了一下
taskmg.exe,我看成,taskmgr.exe了
我就是说,这个是,任务管理器 的进程
........................... |
木马常用这些似是而非的“障眼法”欺骗中招者。
不言放弃 - 2006-5-13 11:49:00
【回复“baohe”的帖子】
恶意木马程序及其DLL文件插入系统核心进程是最近一段时间内木马的流行趋势
北纬37 - 2006-5-13 12:54:00
我的电脑前几天给同事用了一下,之后我每次打开浏览器瑞星的防火墙都会提示有一个网站企图修改IE的注册空白页为这个网站的名字,而且发现机器比以前很慢,竟然每天越来越多的出现防火墙禁止Ping入,Windows提示IP地址与什么某些程序地址冲突,我不知道怎么办,你可以帮我吗?
破轮子 - 2006-5-13 18:32:00
我想看看这个木马,请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢!
花落花又开 - 2006-5-13 18:54:00
【回复“baohe”的帖子】
可以用IS干掉么?或是要从注册表先下手?
闪电风暴 - 2006-5-13 19:19:00
学习
baohe - 2006-5-13 19:53:00
| 引用: |
【花落花又开的贴子】【回复“baohe”的帖子】
可以用IS干掉么?或是要从注册表先下手?
........................... |
这只马运行后,几乎每秒钟都在写注册表。
你删的速度绝对没它写得快。
另外,它插入了所有系统进程。用IS,估计没法对付它。
baohe - 2006-5-13 19:56:00
| 引用: |
【破轮子的贴子】我想看看这个木马,请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢!
........................... |
样本已经发到adzhujun@gmail.com
Handsome_001 - 2006-5-13 21:56:00
我的ssm到期了
独孤豪侠 - 2006-5-13 22:43:00
现在不能插入多线程的木马就不叫木马啦~~~~~~~
友好人士 - 2006-5-14 13:58:00
如果插入了SSM的进程还有办法吗?
baohe - 2006-5-14 14:05:00
| 引用: |
【友好人士的贴子】如果插入了SSM的进程还有办法吗?
........................... |
我估计它没机会插入SSM
附件:
1558472006514140542.jpg
mingsho - 2006-5-14 21:53:00
学习
© 2000 - 2026 Rising Corp. Ltd.