致“ 闪电风暴”——关于“QQ堂不死外挂4.0.exe” bbs.ikaka.com

baohe - 2006-7-15 16:16:00

这个“QQ堂不死外挂4.0.exe”夹带木马。直接用卡巴斯基扫这个文件——并不报毒（见图）。
运行“QQ堂不死外挂4.0.exe”后，释放两个文件到system32文件夹。改动注册表一处。
详细查杀流程：
1、打开注册表编辑器，展开：
HKEY_LOCAL_MACHINE\SOFTWARE\
删除{FCADC8A0-FEB7-4185-9F52-C5141DE0312E}
2、删除C:\WINDOWS\system32\文件夹中的{F97C644B-C764-4847-BF7E-E4E92159E73B}和V22006115.EPE
注：V22006115.EPE已经插入explorer.exe、IDM等多个进程。用IceSword禁止进程创建，结束这些被插进程后，才能删除之。
当然，处理干净注册表后，也可重启后删除之。

附件: 1558472006715160908.jpg

mopery - 2006-7-15 16:45:00

....流汗...
为什么我玩的时候...都没发现......- -...

独孤豪侠 - 2006-7-15 16:47:00

呵呵.看还有人挂QQ堂不.

baohe - 2006-7-15 17:02:00

引用:

【mopery的贴子】....流汗...
为什么我玩的时候...都没发现......- -...

...........................

这种包含在软件中的木马比较隐匿。我是用Tiny的Track'n'Reverse监控发现的。那个V22006115.EPE，卡巴斯基还是报毒的（名字忘记了）。
建议：不要玩儿“外挂”。

酷盖 - 2006-7-15 17:04:00

昨天从华军网下载了一个吞食鱼小游戏,一扫描,靠3个木马,强制安装雅虎助手.
现在连华军网这样的网站都信不过了.

天天泡泡 - 2006-7-15 17:27:00

这个已经算客气的了

q3zz - 2006-7-15 20:27:00

查找EncryptPE来了解老王的这个壳.

闪电风暴 - 2006-7-15 20:33:00

谢谢Baohe版主,我现在有理由去说我的同学了~!~~~~~~~~

闪电风暴 - 2006-7-15 20:41:00

这个木马运行后多次调用 setwindowshookex\CreatRemoteThread\writeMemory设置全局钩子和插入进程\改写内存.(SSM报)

闪电风暴 - 2006-7-15 20:43:00

看偶的这些装备还可以吧.~~~~

baohe - 2006-7-15 21:09:00

引用:

【闪电风暴的贴子】这个木马运行后多次调用 setwindowshookex\CreatRemoteThread\writeMemory设置全局钩子和插入进程\改写内存.(SSM报)
...........................

有SSM，搞掂这样的木马——没问题。

帝岚哲天 - 2006-7-15 22:25:00

顶

闪电风暴 - 2006-7-16 11:10:00

现在又出来 5.0版了

从头爱你 - 2006-10-1 22:01:00

引用:

【闪电风暴的贴子】现在又出来 5.0版了
………………

在那里下载？

均瑶 - 2006-10-1 22:03:00

外挂玩游戏还是人玩游戏哦

瑞星卡卡安全论坛