闪电风暴 - 2006-8-28 19:18:00
木马行为:
运行后,注册一个驱动:
HKLM\System\CurrentControlSet\Services
SVKP=C:\WINDOWS\System32\svkp.sys
注册一个服务:
HKLM\System\CurrentControlSet\Services + cc 微软公司 c:\windows\cc.exe
///冒牌的MICROSOFT
创建以下文件:
新建 C:\WINDOWS\system32\SVKP.sys
新建 C:\WINDOWS\WNQLZL.DAT
新建 C:\WINDOWS\PDPDKQ.DAT
新建 C:\WINDOWS\cc.exe
新建 C:\WINDOWS\uninstal.bat
感染完成后:
删除 C:\WINDOWS\uninstal.bat
注入
C:\WINDOWS\WNQLZL.DAT
C:\WINDOWS\PDPDKQ.DAT
到C:\Program Files\Internet Explorer\iexplore.exe
设置钩子为GETMASSAGE,KEYBORD(试图监视消息队列与键盘输入)
并试图利用iexplore.exe直接读写物理内存。
清除方法:
(先关闭浏览器,结束iexplore.exe进程)
1、使用Autoruns 删除它的驱动项与服务项:
HKLM\System\CurrentControlSet\Services
SVKP=C:\WINDOWS\System32\svkp.sys
HKLM\System\CurrentControlSet\Services + cc
微软公司 c:\windows\cc.exe
2、重启系统
删除C:\WINDOWS\cc.exe
C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\WNQLZL.DAT
C:\WINDOWS\PDPDKQ.DAT
闪电风暴 - 2006-8-28 19:19:00
闪电风暴 - 2006-8-28 19:19:00
闪电风暴 - 2006-8-28 19:20:00
闪电风暴 - 2006-8-28 19:21:00
westbeck - 2006-8-28 19:25:00
学习了。。。
这木马比较典型
westbeck - 2006-8-29 8:59:00
恩,对
dady欢欢 - 2006-8-29 9:11:00
学习~~~怎么都是负费的SSM啊,好羡慕啊!~~~~~~~~~~~~
我也想弄到他~~~~
菜鸟Lee - 2006-8-29 9:50:00
顶啦
闪电风暴 - 2006-8-29 10:07:00
.....
还是不来
闪电风暴 - 2006-8-29 10:38:00
顶起
© 2000 - 2026 Rising Corp. Ltd.