瑞星卡卡安全论坛

据说是个免杀的后门，比较NB。
运行后看了看，也没什么了不起。

一、“网络红娘被控端”植入系统后的SREng日志：

服务
[R_rver / R_rver]
  <C:\windows\system32\R_Sr.exe -service><N/A>

二、“网络红娘被控端”植入系统后的HijackThis v1.99.1日志：

O23 - NT 服务: R_rver - Unknown owner - C:\windows\system32\R_Sr.exe
三、“网络红娘被控端”植入系统重启后SSM监控所见：
1、R_Sr.exe试图启动。
2、R_Sr.exe启动iexplore.exe。
3、svchost.exe启动ipnat.sys.
4、svchost.exe挂起R_Sr.exe。
5、未打开IE浏览器情况下，SSM进程列表中可见iexplore.exe进程（可结束）。

四、杀毒流程：
1、结束iexplore.exe进程后，C:\windows\system32\R_Sr.exe可直接删除（图）。
2、其服务项可用SREng或HijackThis v1.99.1删除。



附件: 15584720061026183954.jpg

好久没看老版发帖了~
先顶下~~

另,这个网络红娘是个类似鸽子的远程控制类的东西吗?

给我发一个吧~~


xue_mai_qi@163.com


谢~~

感觉老大描述的症状和鸽子好像啊 它和鸽子有什么区别啊
谢谢版主了啊  呵呵

是不是它比较NB,是因为中了这个马被控制后,又有什么后续操作??

学习了……能被HijackThis发现也真够菜的，能不能也给我一个mizukiuka@163.com

估计跟鸽子属于同一类型吧？

估计是写这个东西的人技术还不成熟 可能以后的变种就发现不了了

真的很久没见猫叔了，顶一个