瑞星卡卡安全论坛

此马来自某网站上的一个号称“office2007企业版破解程序”。
运行这个破解程序，要求指定一个解压目录。为此，我特意建立并指定了“C:\office2007算号”（图1）。包解压后，瑞星最新病毒库可以发现并杀掉此目录中的KeyGen.exe（图2），但查不到它释放的那个DLL木马(一个随机文件名的DLL）。SRENG日志可见：
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{435D08DD-665E-474F-B977-5EE75A2BDCB2}><C:\windows\system32\efccywt.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efccywt]
    <WinlogonNotify: efccywt><efccywt.dll>  [N/A]
==================================
正在运行的进程：
[PID: 580][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\efccywt.dll]  [N/A, N/A]
[PID: 164][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\windows\system32\efccywt.dll]  [N/A, N/A]
我试图用SSM禁止此DLL加载运行（图3）——无效。重启系统后，winlogon.exe和Explorer.EXE进程中依然可见efccywt.dll。用IceSword可以强制卸除Explorer.EXE进程中的efccywt.dll，但是强制卸除winlogon.exe进程中的efccywt.dll时，系统崩溃、重启。重启后，efccywt.dll依然插入上述两个进程。
变换策略，试图先删除其加载项，再重启、删除efccywt.dll。结果，删除那两个加载项后，系统假死。重启后，那个DLL依然加载运行！汗！！
再次变换策略：先用IceSword强制删除这个DLL（图4），再利用IceSword重启系统（图5）。最后，删除此DLL的加载项（图6），再删除"C:\office2007算号\"目录，搞掂。


图1

[用户系统信息]Opera/9.23 (Windows NT 5.1; U; zh-cn)


附件: 155847200793101831.jpg

图2

附件: 155847200793101853.jpg

图3

附件: 155847200793101911.jpg

图4

附件: 155847200793101941.jpg

图5

附件: 155847200793102018.jpg

图6

附件: 155847200793102038.jpg

沙发，哈哈
收起来先

额。。。板凳？
学习下先~~~~

我忘记Notify的保护了，加入

学习呀

猫叔我看你开了TINY,如果策略加了对WINDOWS目录的写保护那这个病毒还会发作吗?

引用:

【xiaoshzi的贴子】学习呀 猫叔我看你开了TINY,如果策略加了对WINDOWS目录的写保护那这个病毒还会发作吗? ………………

开着禁止dll插入和system32的保护，基本这马就废了

TINY怎样防止DLL插入啊?

引用:

【hotboy的贴子】 开着禁止dll插入和system32的保护，基本这马就废了 ………………

实际上，如果SSM规则中设置了禁止DLL注入WINLOGON、EXEPLORER，这个木马就废了，病毒文件可轻易删除（见附图）。
问题在于：那些常中招的人根本就不注意这些设置。等到中招后，才想招怎么收拾残局。结果————很麻烦。
防毒重于杀毒，这点已经被证明过N次了。这个例子又再次予以证明。

附件: 155847200793143137.jpg

引用:

【baohe的贴子】 实际上，如果SSM规则中设置了禁止DLL注入WINLOGON、EXEPLORER，这个木马就废了，病毒文件可轻易删除（见附图）。 问题在于：那些常中招的人根本就不注意这些设置。等到中招后，才想招怎么收拾残局。结果————很麻烦。 防毒重于杀毒，这点已经被证明过N次了。这个例子又再次予以证明。 ………………

所以以后多讲讲防的办法吧，手工杀毒只能解决“点”的问题，预防才是“面”的问题，baobao任重而道远啊

进来支持猫叔一下..

引用:

【hotboy的贴子】 所以以后多讲讲防的办法吧，手工杀毒只能解决“点”的问题，预防才是“面”的问题，baobao任重而道远啊 ………………

没有材料，就没有针对性。谈，也只是泛泛而谈。希望能多多提供病毒样本。一一观察后，找到各自的特点，才有的说。
PS：剑盟关门了

引用:

【baohe的贴子】 没有材料，就没有针对性。谈，也只是泛泛而谈。希望能多多提供病毒样本。一一观察后，找到各自的特点，才有的说。 PS：剑盟关门了 ………………

最近关门的比较多，来卡饭找样本吧

引用:

【baohe的贴子】 没有材料，就没有针对性。谈，也只是泛泛而谈。希望能多多提供病毒样本。一一观察后，找到各自的特点，才有的说。 PS：剑盟关门了 ………………

十七大过了就会开门的...

引用:

【 火影忍者的贴子】 十七大过了就会开门的... ………………

一个讨论计算机安全的网站，与17大何干？
我真觉得自己有些白痴。什么都不懂了，这年头。

引用:

【baohe的贴子】 一个讨论计算机安全的网站，与17大何干？ 我真觉得自己有些白痴。什么都不懂了，这年头。 ………………

滑稽！！！

十七大至高无上滴

又看猫猫处理病毒了。

喵~~~偶灌水
偶有罪~~~

支持BAOHE，

看来  对付这样的病毒  还要真得变着法来弄  不然.....

猫叔杀毒手法多，学习了。

猫哥真有办法啊，不过貌似有自虐倾向……
此帖介绍的杀毒顺序未尝试过，学习下。

引用:

【baohe的贴子】 实际上，如果SSM规则中设置了禁止DLL注入WINLOGON、EXEPLORER，这个木马就废了，病毒文件可轻易删除（见附图）。 问题在于：那些常中招的人根本就不注意这些设置。等到中招后，才想招怎么收拾残局。结果————很麻烦。 防毒重于杀毒，这点已经被证明过N次了。这个例子又再次予以证明。 ………………

这个禁止DLL注入该怎么设置呢?

是在这两个程序的高级属性中设置??

如果设置禁止DLL注入这两个进程.是否会对使用时产生影响..

另,版主.您在运行这个木马时,有开影子吗?

再一个.可以把这只马发给我吗?嘿嘿.先谢了~~~

a_x_x@163.com

剑盟又开张了,就是不开放注册啊,那位大哥给跟申请码吧

我家机器也种了烦人的XXXXX.dll一堆，还有一个隐藏的自启动项，用瑞星看不到，运行MSconfig、木马杀客、安全卫士、。。。。。。查看启动项目一切正常，还有的看到了就是清理不了，也进注册表删了删完后随意一点别的目录再点回来那5、6项的XXXXX.dll有在那了。用了Sreng才能看到系统自启动的那几项，可删还删不了，我估计是一种很麻烦的木马吧~~！我在C:\Windows\systme32\下找到了那几个XXXX.dll当我删除的时候系统提示我文件写保护，或是正在使用，再一看进程有一个co..什么的进程我分解以后告诉我他是用来执行木马程序的什么什么东东，，，，总之就是愁呀```忙了一中午也没忙明白，一会我回家扫个报告上来大家帮忙分析下被？菜鸟求助~~~~！！！！嗷嗷急`~~~！！

我家机器也种了烦人的XXXXX.dll一堆，还有一个隐藏的自启动项，用瑞星看不到，运行MSconfig、木马杀客、安全卫士、。。。。。。查看启动项目一切正常，还有的看到了就是清理不了，也进注册表删了删完后随意一点别的目录再点回来那5、6项的XXXXX.dll有在那了。用了Sreng才能看到系统自启动的那几项，可删还删不了，我估计是一种很麻烦的木马吧~~！我在C:\Windows\systme32\下找到了那几个XXXX.dll当我删除的时候系统提示我文件写保护，或是正在使用，再一看进程有一个co..什么的进程我分解以后告诉我他是用来执行木马程序的什么什么东东，，，，总之就是愁呀```忙了一中午也没忙明白，一会我回家扫个报告上来大家帮忙分析下被？菜鸟求助~~~~！！！！嗷嗷急`~~~！！

学习学习