Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 234 5 6 7 8

3 / 8 页

跳转页

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2006-11-12 11:45 \| 短消息资料字号：小中大 21楼早上有空仔细看了这个毒，不是从驱动入手的，病毒也不是妨碍IceSword的初始化，而是直接结束IS的进程，也就是说IS是已经成功启动后才被Ban掉的... 在OD中能看到，病毒只是释放了FuckJacks.exe、setup.exe和autoruns.inf，他会调用cmd同net.exe和net1.exe进行通讯，主要是要进行局域网共享操作。。。
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2006-11-12 11:47 \| 短消息资料字号：小中大 22楼 exe\scr\pif\com都感染了，呵呵以后如果有专杀，估计专杀的扩展名得改成cmd\bat才行了，总之可直接执行的都行
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2006-11-12 11:51 \| 短消息资料字号：小中大 23楼发现自己很久没登陆卡卡了
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

快乐黄口狮

帖子:196
注册: 2005-04-11
来自:

发表于： 2006-11-12 12:22 | 短消息资料

字号：小中大 24楼

引用:

【baohe的贴子】
观察Dd11这东西要耐心等待。
释放的文件不止最初观察到的那些，
除了前面提到的那些外，至少还有system32文件夹中的msvce32.exe和windows文件夹中的1.exe。
至于FuckJacks导致IceSword不能运行的机制，我观察到的如下：
结束FuckJacks进程后，每当你试图运行IceSword，SSM报告IceSword加载驱动；但这个驱动已经变成病毒提供的.sys。如果不允许这个sys加载，IceSword不能运行。这个sys文件名每次都变。被SSM阻截后，那个.sys即刻自drivers文件夹中消失。如果没有SSM监控，用户根本观察不到这个过程。
………………

baohe斑竹，能不能告诉SSM哪有下载啊，学习学习！

恒星小生初生襁褓狮帖子:7 注册: 2006-11-07 来自:	发表于： 2006-11-12 13:33 \| 短消息资料字号：小中大 25楼这么强的毒……版主我也要……发我一个样本吧……wsky@163.com
恒星小生初生襁褓狮帖子:7 注册: 2006-11-07 来自:

恒星小生初生襁褓狮帖子:7 注册: 2006-11-07 来自:	发表于： 2006-11-12 13:35 \| 短消息资料字号：小中大 26楼这么强的毒我喜欢……版主我也要……发我一个样本吧……wsky@163.com
恒星小生初生襁褓狮帖子:7 注册: 2006-11-07 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-11-12 13:41 \| 只看楼主短消息资料字号：小中大 27楼在SSM的“规则”中这样（见附图）设置一下，IceSword就安全了。FuckJacks也不能骚扰IceSword了，除非它能将SSM关闭。附件: 文件名:15584720061112133421.jpg 下载次数:214 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-12 13:41:05 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

青ぁ龙ぞ震⊙威飘泊而立狮帖子:493 注册: 2006-09-02 来自:自贡市	发表于： 2006-11-12 14:37 \| 短消息资料字号：小中大 28楼学习了
青ぁ龙ぞ震⊙威飘泊而立狮帖子:493 注册: 2006-09-02 来自:自贡市

现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:	发表于： 2006-11-12 16:07 \| 短消息资料字号：小中大 29楼真有意外收获啊，这些东西越来越精致了，常用的小工具也开始快顶不住了。
现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:

和弦外音锋芒艾服狮帖子:1410 注册: 2005-12-07 来自:	发表于： 2006-11-12 18:05 \| 短消息资料字号：小中大 30楼是有点疯狂……怕了我……
和弦外音锋芒艾服狮帖子:1410 注册: 2005-12-07 来自:

<<上一主题|下一主题>>

1 234 5 6 7 8

3 / 8 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

Trojan-PSW.Win32.QQRob.ec——比较疯狂的木马

附件:

文件名:15584720061112133421.jpg 下载次数:214 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(67223); 上传时间:2006-11-12 13:41:05 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:15584720061112133421.jpg

下载次数:214

文件类型:image/pjpeg

文件大小:

上传时间:2006-11-12 13:41:05

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01