1234   3  /  4  页   跳转

关于QQ狐狸王新变种Worm.QQ.TopFox.ap

收藏
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-14 07:50 | 短消息 资料
字号: 21楼

引用:
【57kkz的贴子】那要手工查杀还是个工程啊
杀软恐怕还无能为力吧~
...........................

个人认为
目前还不知有哪个杀软能够搞定这个东东
gototop
 
宇宙之巅
头像
初生襁褓狮
  • 帖子:418
  • 注册: 2005-10-21
  • 来自:
发表于: 2006-02-14 08:25 | 短消息 资料
字号: 22楼

引用:
【baohe的贴子】

wmimgr32.exe是“QQ狐狸王”的一个新变种。
在powershadow的保护下,观察了一下这个木马的感染过程。果然很变态。中招后,系统基本上就残废了。有系统光盘的,杀毒后,就用光盘修复系统吧。没系统光盘的,有系统GHOST备份也行。
网上提到的查杀方法并不可靠。删除木马启动项以及所有木马文件后,系统不再报文件被替换,但SSM仍报告explorer.exe和ctfmon.exe的MD5 值被更改。
下面几个附图是我观察到的感染过程:

图1-图5:替换系统重要文件
图6:不停的进程插入
图7:木马创建/篡改的文件
—————————————
图1

...........................
目前瑞星能发现它吗
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-02-14 09:49 | 短消息 资料
字号: 23楼

baohe 把 文件发给我
taylor0577@zj.com
记得 加上 密码123
gototop
 
goingtodie
头像
强壮不惑狮
  • 帖子:682
  • 注册: 2003-12-18
  • 来自:
发表于: 2006-02-14 09:54 | 短消息 资料
字号: 24楼

这些作病毒坑害自己人的鬼真不要脸,有本事年攻击美国啊!!
没本事还瞎吹
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-14 10:43 | 只看楼主 短消息 资料
字号: 25楼

引用:
【taylor05771的贴子】baohe 把 文件发给我
taylor0577@zj.com
记得 加上 密码123
...........................

晚上回家发给你。样本在家里的电脑中。
gototop
 
2116bromgamed2m
头像
锋芒艾服狮
  • 帖子:1263
  • 注册: 2005-10-18
  • 来自:SC
发表于: 2006-02-14 13:24 | 短消息 资料
字号: 26楼

那这东西还真“牛”
如不小心中招后
只有重装系统。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-02-14 13:39 | 短消息 资料
字号: 27楼

中了干脆来GHOST算了~
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2006-02-14 16:11 | 短消息 资料
字号: 28楼

引用:
【闪电风暴的贴子】中了干脆来GHOST算了~
...........................

不是 啥 都是 ghost都能 解决得
上次 自己搞了个 病毒
加密了boot
ghost还 进不去呢
gototop
 
★心鉴★
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-02-12
  • 来自:
发表于: 2006-02-14 19:10 | 短消息 资料
字号: 29楼

中了就只有重新装系统吗??
gototop
 
ヘ网络农民ヘ
头像
叱咤花甲狮
  • 帖子:2980
  • 注册: 2004-09-12
  • 来自:
发表于: 2006-02-15 16:29 | 短消息 资料
字号: 30楼

蛮狡猾的病毒。..
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT