瑞星卡卡安全论坛

版本：SSM 2.0.6.569

木马样本：taskmg.exe。直到今天，卡巴斯基仍然不报这个木马，所以，我也不知道它叫什么名字。此马的简介见http://forum.ikaka.com/topic.asp?board=28&artid=8043219

实验步骤：
1、确认SSM为“自动加载”，关闭之。
2、关闭所有其它安全软件，运行taskmg.exe。
3、重启系统。

实验结果：
1、重启系统后，SSM报告，资源管理器要运行C:\windows\system32\taskmg.exe【图1】。新手有可能不理解这是怎么回事，点击“允许”。
2、即使上一步错误点击了“允许”，下一步，SSM继续报告C:\windows\system32\taskmg.exe试图修改explorer.exe（资源管理器）的内存！正常程序不会干这种事。遇到SSM这样的报警，务必点击“阻止此操作（始终）”、“OK”【图2】。
3、上面两步完成后，系统无异常。SSM也安静下来。
4、看看木马是否真被废掉了。尝试删除该木马的文件【图3】。图3证实：此马确实被SSM废了。否则，那个dll文件需要重启系统后才能删除（正是这个dll插入所有系统核心进程）。

小结:尽管这个木马比较刁钻，比较难缠，即使在安装SSM以前就中了，安装SSM后，依然可以用SSM搞掂它。

图1

附件: 1558472006514134331.jpg

图2

附件: 1558472006514134358.jpg

图3

附件: 1558472006514134418.jpg

三个图都帖完了，应该不会占您的位吧？我不玩ＳＳＭ，如果在影子系统里玩这小马哥会出事吗？

引用:

【友好人士的贴子】三个图都帖完了，应该不会占您的位吧？我不玩ＳＳＭ，如果在影子系统里玩这小马哥会出事吗？ ...........................

我没在powershadow中玩儿过这只木马，不知它：
1、是否会修改powershadow的内存，
2、如果它修改powershadow内存，重启系统后，powershadow是否会将其灭掉。
你可以试试。
万一powershadow失手了，你自己动手杀了它就是了。

谢谢baohe 斑竹呀

【回复“baohe”的帖子】我道行还不够深，不敢玩．

呵呵,强,用最简单的东西,解决困难的事情.学习ing~~~~~~~~

baohe版主,能不能把TASKMG.EXE木马样本发到我的邮箱?我想用你教的方法实践一下    xiongy2003@yahoo.com.cn

尊敬的baohe版主，SSM既然有监控功能，比如对dll进程的插入内存的监视，那么它有些功能会不会和杀软监控雷同呢？甚至冲突？那么防火墙呢？
我看你也装了防火墙，杀软。难道你平时就会同时开SSM，防火墙，杀软(尤其是监视)这三个软件？？

引用:

【传说中的宝贝的贴子】尊敬的baohe版主，SSM既然有监控功能，比如对dll进程的插入内存的监视，那么它有些功能会不会和杀软监控雷同呢？甚至冲突？那么防火墙呢？ 我看你也装了防火墙，杀软。难道你平时就会同时开SSM，防火墙，杀软(尤其是监视)这三个软件？？ ...........................

SSM不是杀软，也不是“防火墙”。它是一个“应用程序监控工具”。与TPF2005防火墙和卡巴斯基杀软无冲突。

引用:

【baohe的贴子】 SSM不是杀软，也不是“防火墙”。它是一个“应用程序监控工具”。与TPF2005防火墙和卡巴斯基杀软无冲突。 ...........................

明白了，谢谢

study

没滴说!!
崇拜!!!!!!

刚刚我也下了个SSM，试试。

好样的

baohe老大，有个软件叫东方**的国产杀软，据说是依靠行为判断木马病毒的，不知道你用过没有，是不是和ssm有相同的功能！

引用:

【zhuhou18的贴子】baohe老大，有个软件叫东方**的国产杀软，据说是依靠行为判断木马病毒的，不知道你用过没有，是不是和ssm有相同的功能！ ...........................

东方**——白给都不用！

到底是东方什么?
说出来也好让大家防范一下啊.

这才叫高手！厉害啊

taskmgr.exe 是什么啊？

引用:

【FF1987的贴子】taskmgr.exe 是什么啊？ ...........................

taskmgr.exe——WINDOWS的“任务管理器”。