闪电风暴 - 2006-7-31 17:22:00
++++++++++
上报瑞星,得病毒名为:Backdoor.Agent.dry
将在18.42.2版本解决
木马行为:
运行样本lexps.exe后,SSM拦截lexps.exe多次直接访问物理内存.
添加服务项:
DDOSServer=
C:\windows\system32\lexps.exe
在HJ日志中表现为:
O23 - Service: Windows DDOSServer (DDOSServer) - Unknown owner - C:\windows\system32\lexps.exe
并试图访问网络:
信息:C:\windows\system32\lexps.exe cmdline=C:\windows\system32\lexps.exe -NetSata
感染完成时,样本目录下生成deleteme.bat文件,然后同时与原样本lexps.exe自取短见.企图销毁源木马文件.
根据baohe版主回帖补充:如果发现有调试器或者安全软件拦截它的行为,它会自杀以不被发现.(我测试时用SSM除了访问物理内存是禁止的,其它一律放行,它才没自杀.)
查杀方法与鸽子类似,不过简单一些:
1.由于这个lexps.exe是用SYSTEM权限运行的,所以只能用IceSword强行终止它.
2.运行regedit.exe,找到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]
删除左边的DDOSServer项.
3.重启系统,显示隐藏文件与系统文件后,删除C:\windows\system32\lexps.exe
闪电风暴 - 2006-7-31 17:35:00
也不知道这是一个什么木马
闪电风暴 - 2006-7-31 17:36:00
闪电风暴 - 2006-7-31 17:37:00
闪电风暴 - 2006-7-31 17:39:00
炫Oo逍遥oO - 2006-7-31 17:40:00
你去看看我的帖子吧 我中龙心了 55555``
闪电风暴 - 2006-7-31 17:42:00
闪电风暴 - 2006-7-31 17:42:00
| 引用: |
【炫Oo逍遥oO的贴子】你去看看我的帖子吧 我中龙心了 55555``
........................... |
地址
闪电风暴 - 2006-7-31 17:58:00
没人看吗?
独孤豪侠 - 2006-7-31 18:06:00
被逼上来顶一个......
baohe - 2006-7-31 18:32:00
| 引用: |
【闪电风暴的贴子】没人看吗?
........................... |
有SSM在,只要你不为lexps.exe创建规则(允许它加载运行),它就是死东西。
留在系统里养两天。看看它能DDoS谁!
附件:
1558472006731182442.jpg
忧郁王子…宝箱 - 2006-7-31 19:38:00
3楼那里先结束程序。再删除才删掉啊。是不是
闪电风暴 - 2006-8-1 9:40:00
用任务管理器无法结束这个进程.到我的群里或者pjf.blogone.net下载IceSword1.18去结束
© 2000 - 2026 Rising Corp. Ltd.