baohe - 2006-9-15 22:07:00
%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。
然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe。这个位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4家报,其中3家报可疑;AntiVir的启发式报“恶意程序。4家均未给出具体名称。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插入应用程序进程。
C:\windows\wuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft
查杀:
结束C:\windows\wuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其启动项。
Greysign - 2006-9-15 22:18:00
请教版主是怎么知道他通过什么端口访问什么地址的.又是怎么知道他创建了什么.修改了什么
baohe - 2006-9-15 22:20:00
| 引用: |
【Greysign的贴子】请教版主是怎么知道他通过什么端口访问什么地址的.又是怎么知道他创建了什么.修改了什么
……………… |
用Tiny监控到的
Greysign - 2006-9-15 22:30:00
Tiny防火墙?
然后又是怎么样知道他修改什么创建什么.
我是新手来着.慕猫叔的名来这里学习的.希望猫叔能不嫌烦教我下
baohe - 2006-9-15 22:34:00
| 引用: |
【Greysign的贴子】Tiny防火墙?
然后又是怎么样知道他修改什么创建什么.
我是新手来着.慕猫叔的名来这里学习的.希望猫叔能不嫌烦教我下
……………… |
2楼已经回复。
Tiny监控
Greysign - 2006-9-15 22:38:00
找不到资料.还是不明白.= =|||
从头爱你 - 2006-9-15 22:44:00
继续``ing``...学习``
不会打字00 - 2006-9-15 23:54:00
瑞星的防火墙比起其它的如和
影子110 - 2006-9-16 9:35:00
老版~你是在U盘里运行的吧??
westbeck - 2006-9-16 10:16:00
学习
baohe - 2006-9-16 17:14:00
| 引用: |
【影子110的贴子】老版~你是在U盘里运行的吧??
……………… |
不是。是在桌面运行的。
运行前,忘了拔U盘。
影子110 - 2006-9-16 18:10:00
学习~~
老版,这个样本给我发一个吧~~
http://free.ys168.com/?xuemai
1234
baohe - 2006-9-16 18:15:00
| 引用: |
【影子110的贴子】学习~~
老版,这个样本给我发一个吧~~
http://free.ys168.com/?xuemai
1234
……………… |
主帖已经交待过了:
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf
© 2000 - 2026 Rising Corp. Ltd.