号称“第五代机器狗” bbs.ikaka.com

baohe - 2008-6-24 21:20:00

样本来自http://bbs.janmeng.com/thread-772070-1-1.html

挺牛的样子。
看看它这第五代有什么神奇的地方。关闭瑞星监控，关闭SSM，用Tiny 的Track'NReverse监控样本运行。

1/首先写入注册表这关就是问题：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs。死心眼儿！
2/结束它那三个进程。
3/扫个autoruns日志------暴露无遗。
4/对照autoruns日志，用IceSword一一删除其指向的程序及其注册表项。
5/最后，在搜索一下今天创建的文件，找到病毒文件一一删除。搞掂。

此例可见：注册表防护的重要性。
如果让它过了写HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs这关，收拾起来要麻烦许多。

用户系统信息：Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件: 1.jpg

附件: 2.jpg

附件: 3.jpg

附件: 4.jpg

附件: 5.jpg

koako - 2008-6-24 21:24:00

猫叔的沙发 :default6:
抢了再看帖

一直在学习的人 - 2008-6-24 21:28:00

太长时间没有拜读到猫叔的大作了,看到了这篇,欣喜若狂啊

我眼疾手快,抢了个椅子,高兴

超级游戏迷 - 2008-6-24 21:31:00

见过这个DD，GPRF3.EXE这个病毒文件貌似可以在SRENG扫描日志的“隐藏进程”中显示……:default2:

lqqk7 - 2008-6-24 21:42:00

猫叔回归啦~
收藏先

baohe - 2008-6-24 21:44:00

引用:

原帖由 lqqk7 于 2008-6-24 21:42:00 发表
猫叔回归啦~
收藏先

这个貌似不是机器狗。机器狗，俺有印象，不是这样子的。

一直在学习的人 - 2008-6-24 21:51:00

看到这个东西有两个驱动,有关闭瑞星监控，关闭SSM行为,它又有可能先下手为强了.

baohe - 2008-6-24 21:56:00

引用:

原帖由 一直在学习的人 于 2008-6-24 21:51:00 发表
看到这个东西有两个驱动,有关闭瑞星监控，关闭SSM行为,它又有可能先下手为强了.

是我事先关闭的瑞星监控和SSM。不是病毒干的。

超级游戏迷 - 2008-6-24 22:12:00

晕了，appinit_dlls这个注册表值项居然找不到了，昏迷……:default2:

难怪最近运行SRENGPS.EXE不出appinit_dlls被修改为默认值的提示，还不知道这个注册表值项啥时候丢的……:default11:

baohe - 2008-6-24 23:00:00

引用:

原帖由 超级游戏迷 于 2008-6-24 22:12:00 发表
晕了，appinit_dlls这个注册表值项居然找不到了，昏迷……:default2:

难怪最近运行SRENGPS.EXE不出appinit_dlls被修改为默认值的提示，还不知道这个注册表值项啥时候丢的……:default11:

这劳什子DD，没，就没了吧。省心。

瑞星卡卡安全论坛