一個隱蔽性很好的驅動級木馬。

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一個隱蔽性很好的驅動級木馬。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 4 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-10-07 20:43 \| 只看楼主短消息资料字号：小中大 1楼一個隱蔽性很好的驅動級木馬。今天。接到“臥龍傳説”網友提供的一個樣本。目前爲止，這是我見到的隱蔽性最好的木馬。希望引起大家注意。這個木馬隱蔽性很好。我用TPF2005的Activity Monitor沒有監控到註冊表啓動加載項的添加（那兩個啓動加載項是我自己根據文件名在註冊表中搜索出來的）。00024914.dll和00024914.sys兩個木馬文件在普通WINDOWS模式下為隱藏。 1、創建文件：在system32文件夾在夾中創建7.exe、00024914.dll；在system32\driver\文件夾中創建00024914.sys。 2、插入進程：此木馬插入iexplore.exe進程。 3、註冊表改動：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\添加： Schedule（指向c:\windows\system32\7.exe）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分之添加： HIDEME（指向c:\windows\system32\00024914.sys）查殺： 1、結束iexplore.exe進程。 2、刪除上述三個木馬文件。其中：00024914.dll和00024914.sys在普通WINDOWS模式下為隱藏，根本找不到。須用IceSword找到/刪除之。 3、刪除木馬在註冊表中添加的啓動加載項。 2005-10-08 21:34:56
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-10-07 20:57 \| 只看楼主短消息资料字号：小中大 3楼【回复“我是天才陈叙”的帖子】現在在家裏，電腦中沒裝SSM。我估計SSM也能發現。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-10-07 21:03 \| 短消息资料字号：小中大 4楼呵呵，在安全版已经看过此篇了，，，这个木马是挺厉害的，，，可别有人拿它来做恶，，，，那···
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:	发表于： 2005-10-07 21:06 \| 短消息资料字号：小中大 5楼不知道,卡巴是不是报这个病毒样本,报什么名字?
命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:

从头爱你锋芒艾服狮帖子:1791 注册: 2005-06-17 来自:	发表于： 2005-10-07 21:09 \| 短消息资料字号：小中大 6楼支持：）附件: 文件名:5228422005107210950.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-7 21:09:50 描述:
从头爱你锋芒艾服狮帖子:1791 注册: 2005-06-17 来自:

大版主

发表于： 2005-10-07 21:12 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【命运里の金色的贴子】不知道,卡巴是不是报这个病毒样本,报什么名字?
...........................

卡巴司機報。但名字——我忘記了。

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-10-07 21:16 \| 短消息资料字号：小中大 8楼【回复“baohe”的帖子】不知是否有样本?
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:

大版主

发表于： 2005-10-07 21:23 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【花落花又开的贴子】【回复“baohe”的帖子】
不知是否有样本?
...........................

有啊。你要？

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-10-07 21:26 \| 短消息资料字号：小中大 10楼 rsvirus@163.com谢谢:) PS:baohe好象不是本人.
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:

1 / 4 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-10-07 20:43 \| 只看楼主短消息资料字号：小中大 1楼一個隱蔽性很好的驅動級木馬。今天。接到“臥龍傳説”網友提供的一個樣本。目前爲止，這是我見到的隱蔽性最好的木馬。希望引起大家注意。這個木馬隱蔽性很好。我用TPF2005的Activity Monitor沒有監控到註冊表啓動加載項的添加（那兩個啓動加載項是我自己根據文件名在註冊表中搜索出來的）。00024914.dll和00024914.sys兩個木馬文件在普通WINDOWS模式下為隱藏。 1、創建文件：在system32文件夾在夾中創建7.exe、00024914.dll；在system32\driver\文件夾中創建00024914.sys。 2、插入進程：此木馬插入iexplore.exe進程。 3、註冊表改動：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\添加： Schedule（指向c:\windows\system32\7.exe）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分之添加： HIDEME（指向c:\windows\system32\00024914.sys）查殺： 1、結束iexplore.exe進程。 2、刪除上述三個木馬文件。其中：00024914.dll和00024914.sys在普通WINDOWS模式下為隱藏，根本找不到。須用IceSword找到/刪除之。 3、刪除木馬在註冊表中添加的啓動加載項。 2005-10-08 21:34:56
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：