xinyuzh - 2006-10-21 1:27:00
1,360卫士论坛得到,然后自己分离的样本。
2,TINY自己定义规则进行监控
3,启动木马程序后只建立一个驱动程序,注册表项目竟然有30多项。
4,不能在虚拟机中运行
5,注册表项目和文件详附图
6,如何查找木马驱动:
a--用procexp;在system进程(PID=4);
b--右击该进程,选择"属性";
c--选择线程,将滚动条拖到末端,即可发现木马驱动(2个线程)
7,解决办法:procexp找到驱动程序句柄;close 它;删除驱动文件即可;
更详细的介绍,请见:
http://bbs.360safe.com/viewthread.php?tid=14140&extra=page%3D1
要病毒样本的请留邮件。
附件:
5299332006102111847.PNG
xinyuzh - 2006-10-21 1:28:00
xinyuzh - 2006-10-21 1:31:00
还有3张图,难得补了
轩辕小聪 - 2006-10-21 2:05:00
样本请用WINRAR压缩,加密码virus,发到我的邮箱(见签名),谢谢。
现在的流氓是越来越隐蔽了,之前因为一直没拿到样本,所以也没办法分析。
xinyuzh - 2006-10-21 2:20:00
| 引用: |
【轩辕小聪的贴子】样本请用WINRAR压缩,加密码virus,发到我的邮箱(见签名),谢谢。
现在的流氓是越来越隐蔽了,之前因为一直没拿到样本,所以也没办法分析。
……………… |
已发。
影子110 - 2006-10-21 7:00:00
xue_mai_qi@163.com
给我一个~谢~(压缩后加上密码:同上~)
影子110 - 2006-10-21 7:22:00
另,楼主给出的链接~~
给你顶一个~~
xinyuzh - 2006-10-21 7:43:00
| 引用: |
【影子110的贴子】xue_mai_qi@163.com
给我一个~谢~(压缩后加上密码:同上~)
……………… |
已发
xinyuzh - 2006-10-21 7:52:00
链接的文章已经很清楚了
这个木马只有一个驱动程序文件
最好的检测(发现木马文件)的方法应该是:
使用Autoruns,检测没有数字签名的非微软驱动程序,
--------立即可以找到它!
xinyuzh - 2006-10-21 12:11:00
再次试验了下,可以用Icesword 1.2版强制删除 功能,删除木马驱动,这个应该是最直接的解决办法。
这个木马最难得应该是找到它的驱动文件。
荣虎荣虎 - 2006-10-21 12:45:00
上网少不了一软件,优化大师,我用了不错,现推荐。我原来常装系统,18日才装,20日就受病毒Trojan.DL.Agent.xdw的侵扰,多种方法都用了,清不掉,又有网友介绍别的软件的,但又怕出现新的问题。有一网友介绍优化大师不错,我原来系统98时用过,结果在新浪网下载来试,很不错,还清理了8个流氓软件,电脑速度明显加快。现推广给朋友,但愿能给你们帮助。优化大师是绿色软件。
deadmanzj - 2006-10-21 12:52:00
楼上的别到处灌水/
LZ的地址那帖子看过了。。。确实分析的很有道理
影子110 - 2006-10-22 9:01:00
发现了一点有意思的地方,大家讨论讨论~(似看懂,却又未看懂~)
打开楼主发给我的飘雪样本~~~
没有运行,只是先用记事本打开了这个文件.
显示的内容有点乱~(这里就不全帖上来了,)
最前面显示了一句话~
This program cannot be run in DOS mode.
(我用快译翻了下(版本有点低):这个计划不能够在操作系统模态中被进行)
下面一段看不懂的东西~(略)
接着,下面看到些稍稍好理解些的地方(当然,如果没有看过楼主提供的链接,这些还是不明白的~)
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ SOFTWARE\VMware, Inc.\VMware Tools ShowTray %s\msvcrt.dll SearchPlugInX SearchPlug SOFTWARE\Microsoft\Internet Explorer SearchPlugIn Type Start ErrorControl Group DisplayName ImagePath System Bus Extender SYSTEM\CurrentControlSet\Services\%s system32\drivers\%s.sys %s\%s.sys %s\drivers %c%c%c%c%c%c%c%c versioncheck http://baidu2.fenleidangdang.com/tj/%d/%s/%s System %d|%s|%s %02X %d 000000000000 %02X%02X%02X%02X%02X%02X *
再略一段~
?memset ��strlen ?free ��strcpy ?malloc ��sprintf ?rand ��srand !�time ��strcat ?_snprintf � ??3@YAXPAX@Z ?fwrite ?fclose ?memcpy ?fopen msvcrt.dll _c_exit _exit N _XcptFilter _cexit ?exit _acmdln p __getmainargs @�_initterm __setusermatherr _adjust_fdiv __p__commode __p__fmode __set_app_type _except_handler3 _controlfp SHGetValueA SHSetValueA SHLWAPI.dll InternetOpenUrlA InternetOpenA WININET.dll ��Netbios NETAPI32.dll . CloseHandle ��SetFileTime M CreateFileA W�GetFileAttributesExA ?GetSystemDirectoryA ?GetVersionExA ?GetTickCount ;�GetCurrentProcessId i�GetLastError ?GetStartupInfoA KERNEL32.dll USER32.dll > CloseServiceHandle d CreateServiceA >�StartServiceA ?OpenServiceA DeleteService ?OpenSCManagerA ADVAPI32.dll ?
虽说,这些,并不是能看得很明白~但却又好像看到些什么~~
唉,还需要学习~~~
影子110 - 2006-10-23 0:07:00
这个样本可能是新版~~用procexp关闭这个驱动的句柄也无法结束它~~~(因为根本就关闭不了~)
在sreng中根本就不可见~(真不知它是用什么方法隐藏自已的~)
但ssm可以监测到它的服务和驱动的安装(可是安装上后,在SSM的服务表中却看不到,只能看到它生成的驱动~),可惜没什么用,它的驱动启动后,就不太容易停了~
另,这个飞雪的服务根本不可见(我是说用现有的一些工具~)但是在注册表中可以找到它的服务项~
可惜,删了,就被恢复了~~(它好像是驱动连着服务,服务启动驱动~这个驱动文件就是这个服务运行的文件!)驱动停止不了,服务删了就又恢复~服务删不了,驱动同样也无法删除~唉真是晕~只好退出影子了~以后再寻求解决方法了~
(msvcrt.dll 这个DLL~~~
KERNEL32.dll USER32.dll > CloseServiceHandle d CreateServiceA >�StartServiceA ?OpenServiceA DeleteService ?OpenSCManagerA ADVAPI32.dll
什么意思呢~~)
© 2000 - 2026 Rising Corp. Ltd.