瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » “中国红客”网页木马的特点与手工查杀操作
baohe - 2007-3-13 16:06:00
“中国红客”网站遭暗算:hxxp://www9.chinahksm.com/hm/QQ/200609/54.html。
今天上午和下午下载的木马略有不同。

未打全补丁的IE6访问该网页后会中招。OPERA浏览器访问该网页则没任何问题。

下午,中招后的SRENG32.3日志可见以下异常项:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <98u2ekdzjr><C:\windows\iexpl0ra.exe>  [N/A]
    <98u2ekdzjr><C:\windows\iexpl0ra.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\zt.exe>  [N/A]
    <opo><C:\DOCUME~1\baohelin\LOCALS~1\Temp\wl.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><KB684745M.LOG>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <DLMon><C:\windows\system32\DLMain.dll>  [N/A]

==================================

驱动程序
[squell / squell][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\DRIVERS\npf.sys><CACE Technologies>

==================================
正在运行的进程

[PID: 1956][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\DLMon.dll]  [N/A, N/A]
    [C:\windows\system32\cmdbcs.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A] 
[PID: 3748][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe]  [Hyperionics Technology LLC, 5, 3, 0, 0]
    [C:\windows\KB684745M.LOG]  [N/A, N/A]
[PID: 1212][C:\Program Files\WinRAR\WinRAR.exe]  [N/A, N/A]
    [C:\windows\KB684745M.LOG]  [N/A, N/A]
[PID: 288][C:\Documents and Settings\baohelin\桌面\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\KB684745M.LOG]  [N/A, N/A]

需要指出的是:
1、C:\windows\KB684745M.LOG动态插入“资源管理器”(Explorer.EXE)和中招后运行的其它应用程序进程。因此,中招用户应尽量避免运行不必要的应用程序。对于那些需要使用但又被病毒模块插入的应用程序进程,可以用IceSword等工具卸除其中的病毒模块(图2)。
2、C:\windows\system32\DLMon.dll监控用户卸除病毒模块操作,一旦病毒模块被卸除,系统立即报错(Explorer.EXE遇到问题需要关闭.....)。此时,不要做任何回应。将报错窗口拖到一边,继续进行病毒模块卸除操作(图2)。
杀毒操作顺序:
1、结束病毒进程(图1)
2、根据SRENG日志提示,用IceSword卸净插入各应用程序进程中的病毒模块(图2)
3、卸净所有被插进程中的各个病毒模块后,删除所有病毒文件(图3)。
4、删除病毒启动项、驱动项(见日志内容)。
5、最后,再回应“Explorer.EXE遇到问题需要关闭...”对话框(点击“不发送”,图4)。
 

图1

附件: 1558472007313155920.jpg
baohe - 2007-3-13 16:09:00
图2

附件: 1558472007313155954.jpg
baohe - 2007-3-13 16:10:00
图3

附件: 1558472007313160059.jpg
baohe - 2007-3-13 16:11:00
图4

附件: 1558472007313160132.jpg
菜鸟玩病毒 - 2007-3-13 16:14:00
学习了.....
spiritfire - 2007-3-13 16:55:00
学习了,猫叔最近发帖很频啊!
我这倒霉的孩子 - 2007-3-13 17:34:00
走过路过看过
学习学习

Trojan.MNLess.df这怎么解决?
天圣赵云 - 2007-3-13 17:35:00
哦,明白了.
yulf - 2007-3-13 17:38:00
中国红客的网站都中招了.不会吧.
无恨的泪 - 2007-3-13 17:45:00

我想知道一个问题~~~~~ 就是我的笔记本电脑~~~ 一下载瑞星杀毒软件,一启动就卡的要死,一禁止监控就不卡了~~~ 能问问着是为什么~~~~~ 请你们帮帮忙好吗谢谢了~~~~~
baohe - 2007-3-13 17:59:00
引用:
【yulf的贴子】中国红客的网站都中招了.不会吧.
………………



附件: 1558472007313175021.jpg
IT雄师 - 2007-3-13 19:03:00
谢谢!
xpcoo - 2007-3-13 19:03:00
在不断学习中渐渐成长
thull - 2007-3-13 19:15:00
xuexi le
绿树紫涧 - 2007-3-13 19:41:00
认真学习中,超级支持一下
踏雪苦寻梅 - 2007-3-13 20:30:00
偶是新来的,向大家学习!
女校男生 - 2007-3-13 20:46:00
学习中~~
花飞影 - 2007-3-13 21:20:00
我开着IE7.0测试了下,没有什么大碍,没有出现崩溃的现象。杀毒软件报警了。

附件: 2022152007313211104.jpg
大怪怪框框 - 2007-3-13 21:45:00
学习~
高歌猛进 - 2007-3-13 21:46:00
到现在木马仍没有清除。强!
我ai网络 - 2007-3-13 21:53:00
谢谢
baohe - 2007-3-13 22:04:00
引用:
【花飞影的贴子】我开着IE7.0测试了下,没有什么大碍,没有出现崩溃的现象。杀毒软件报警了。
………………

1、这堆木马不会导致系统崩溃。
2、补丁不全的IE6.0浏览该网页才会中招。
花飞影 - 2007-3-13 22:30:00
引用:
【baohe的贴子】
1、这堆木马不会导致系统崩溃。
2、补丁不全的IE6.0浏览该网页才会中招。
………………

感觉现在的IE7.0比IE6.0的安全有一定的进步,虽然比不上Opera,但对网页木马现在有一定的免疫啦。
姑苏残月 - 2007-3-14 8:57:00
跑来看看
饭后点心 - 2007-3-14 9:25:00
经常拜读猫叔的帖子,受益良多.
我是列斧 - 2007-3-14 15:14:00
【回复“无恨的泪”的帖子】

看看你是不是装了两个杀毒软件!!!如果是的话,删掉一个就可以了!
logicl - 2007-3-14 16:04:00
学习了.
westbeck - 2007-3-14 21:36:00
http://hi.baidu.com/westbeck/blog/item/7e5ec2008c9c3211728b65a4.html
前几天在BLOG上写过这分析,挂马的方式没变,病毒没测
sailma - 2007-3-14 22:22:00
iwyz2002 - 2007-3-15 7:04:00
我没遇到过,但也在学习中
12
查看完整版本: “中国红客”网页木马的特点与手工查杀操作
© 2000 - 2026 Rising Corp. Ltd.