1   1  /  1  页   跳转

关于“网络红娘被控端”

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-10-26 18:48 | 只看楼主 短消息 资料
字号: 1楼

关于“网络红娘被控端”



据说是个免杀的后门,比较NB。
运行后看了看,也没什么了不起。

一、“网络红娘被控端”植入系统后的SREng日志:

服务
[R_rver / R_rver]
  <C:\windows\system32\R_Sr.exe -service><N/A>

二、“网络红娘被控端”植入系统后的HijackThis v1.99.1日志:

O23 - NT 服务: R_rver - Unknown owner - C:\windows\system32\R_Sr.exe
三、“网络红娘被控端”植入系统重启后SSM监控所见:
1、R_Sr.exe试图启动。
2、R_Sr.exe启动iexplore.exe。
3、svchost.exe启动ipnat.sys.
4、svchost.exe挂起R_Sr.exe。
5、未打开IE浏览器情况下,SSM进程列表中可见iexplore.exe进程(可结束)。

四、杀毒流程:
1、结束iexplore.exe进程后,C:\windows\system32\R_Sr.exe可直接删除(图)。
2、其服务项可用SREng或HijackThis v1.99.1删除。

附件附件:

下载次数:237
文件类型:image/pjpeg
文件大小:
上传时间:2006-10-26 18:48:19
描述:
预览信息:EXIF信息



最后编辑2006-10-26 19:37:51
分享到:
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-10-26 18:56 | 短消息 资料
字号: 2楼

好久没看老版发帖了~
先顶下~~

另,这个网络红娘是个类似鸽子的远程控制类的东西吗?

给我发一个吧~~


xue_mai_qi@163.com


谢~~
gototop
 
thull
头像
快乐黄口狮
  • 帖子:170
  • 注册: 2006-06-02
  • 来自:
发表于: 2006-10-26 18:58 | 短消息 资料
字号: 3楼

感觉老大描述的症状和鸽子好像啊 它和鸽子有什么区别啊
谢谢版主了啊  呵呵
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-10-26 18:58 | 短消息 资料
字号: 4楼

是不是它比较NB,是因为中了这个马被控制后,又有什么后续操作??
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-10-26 18:58 | 短消息 资料
字号: 5楼

学习了……能被HijackThis发现也真够菜的,能不能也给我一个mizukiuka@163.com
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-10-26 19:00 | 短消息 资料
字号: 6楼

估计跟鸽子属于同一类型吧?
gototop
 
thull
头像
快乐黄口狮
  • 帖子:170
  • 注册: 2006-06-02
  • 来自:
发表于: 2006-10-26 19:14 | 短消息 资料
字号: 7楼

估计是写这个东西的人技术还不成熟 可能以后的变种就发现不了了
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-10-26 19:46 | 短消息 资料
字号: 8楼

真的很久没见猫叔了,顶一个
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT