瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个号称“爱国者”的dll木马
baohe - 2007-6-30 22:03:00
病毒样本h.exe来自剑盟。MD5值:a1a876b85ecd3ad32efacf0ffdbcab85

中招后,进程列表中可见高进程号svchost进程,内含病毒模块3800hk.dll(图1)。h.exe运行后自动将自身删除。
此毒通过8080端口访问218.19.100.185(广东省广州市海珠区)(图2)。

注册表改动:图3、图4。病毒服务描述及显示内容均为“爱国者”。汗!

杀毒:
结束那个含3800hk.dll的svchost进程,删除3800hk.dll,删除病毒添加的注册表项即可。


图1

附件: 1558472007630215258.jpg
baohe - 2007-6-30 22:03:00
图2

附件: 1558472007630215328.jpg
baohe - 2007-6-30 22:04:00
图3

附件: 1558472007630215350.jpg
baohe - 2007-6-30 22:04:00
图4

附件: 1558472007630215416.jpg
baohe - 2007-6-30 22:05:00
死尸:

附件: 1558472007630215517.jpg
gwlucker - 2007-6-30 22:22:00
收下学习了~
♂栓柱♂ - 2007-6-30 22:24:00
学习哦!
火影忍者 - 2007-6-30 22:26:00
引用:
【baohe的贴子】病毒样本h.exe来自剑盟。MD5值:a1a876b85ecd3ad32efacf0ffdbcab85

中招后,进程列表中可见高进程号svchost进程,内含病毒模块3800hk.dll(图1)。h.exe运行后自动将自身删除。
此毒通过8080端口访问218.19.100.185(广东省广州市海珠区)(图2)。

注册表改动:图3、图4。病毒服务描述及显示内容均为“爱国者”。汗!
………………

没看出来,怎么个爱图!!
baohe - 2007-6-30 22:28:00
引用:
【火影忍者的贴子】
没看出来,怎么个爱图!!
………………

看图4
gwlucker - 2007-6-30 22:32:00
- -这样弄不是很明显么...突然蹦出来个爱国者~
火影忍者 - 2007-6-30 22:43:00
引用:
【baohe的贴子】
看图4
………………

我是说,它哪一点爱国了..!!
baohe - 2007-6-30 22:45:00
引用:
【火影忍者的贴子】
我是说,它哪一点爱国了..!!
………………

问病毒作者吧
装A装C别装B - 2007-6-30 22:46:00
学习
超级游戏迷 - 2007-6-30 22:52:00
学习猫哥新作品中………………
涅磐86970 - 2007-7-1 1:11:00
引用:
【火影忍者的贴子】
我是说,它哪一点爱国了..!!
………………


3800hk 黑鹰--爱国者黑客
所以。。。
taylor05771 - 2007-7-1 8:57:00
svchost 反弹木马而已
HOSTのS - 2007-7-1 9:11:00
爱国者?  害国者?
haohe的fans - 2007-7-3 17:20:00
引用:
【baohe的贴子】
问病毒作者吧
………………

哈哈!!!!
风吹过的树叶 - 2007-7-3 18:08:00
病毒名字还真无聊
xiaoxiongjoy - 2008-2-28 18:52:00
鄙视黑客
1
查看完整版本: 一个号称“爱国者”的dll木马
© 2000 - 2026 Rising Corp. Ltd.