1234   1  /  4  页   跳转

worm.agent.ug再次感染后的奇异现象

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:02 | 只看楼主 短消息 资料
字号: 1楼

worm.agent.ug再次感染后的奇异现象



昨天写了个帖子(http://forum.ikaka.com/topic.asp?board=28&artid=8317275),扼要介绍了断网状态下感染worm agent.ug样本后的手工杀毒对策。
但是,连网状态感染这个蠕虫后,还会从网上下载一堆其它病毒。这时,手工杀毒能否轻易搞掂?
为了回答这个问题,关闭TINY的windows security以及瑞星的所有监控,彻底关闭SSM。然后运行worm agent.ug样本。
待TINY的activty monitor不再显示任何网络访问及文件下载、运行时,重启系统。
重启系统后,奇异现象出现了(图1)。表明worm agent.ug的部分IFEO劫持失败了(TINY和SSM可以正常运行),只有可怜的瑞星被此蠕虫劫持掉了。

图1

附件附件:

下载次数:339
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:02:29
描述:
预览信息:EXIF信息



最后编辑2007-06-02 11:09:09
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:03 | 只看楼主 短消息 资料
字号: 2楼

此时,SSM可以将用户发现的病毒程序归入“阻止运行”组(图2)。

图2

附件附件:

下载次数:300
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:03:09
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:03 | 只看楼主 短消息 资料
字号: 3楼

此后,worm agent.ug下载的病毒可以找到并删除(图3)。

图3

附件附件:

下载次数:274
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:03:37
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:04 | 只看楼主 短消息 资料
字号: 4楼


worm agent.ug的主体文件也能删除(图4)。

图4

附件附件:

下载次数:246
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:04:06
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:04 | 只看楼主 短消息 资料
字号: 5楼

可以用改名的SRENG删除病毒启动项及WINSOCK劫持项(图5)。

图5

附件附件:

下载次数:247
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:04:43
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:05 | 只看楼主 短消息 资料
字号: 6楼

病毒添加的下列IFEO劫持项也能一一删除:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options           

+ 360rpt.exe            c:\windows\system32\wocfiba.exe

+ 360Safe.exe            c:\windows\system32\wocfiba.exe

+ 360tray.exe            c:\windows\system32\wocfiba.exe

+ adam.exe            c:\windows\system32\wocfiba.exe

+ AgentSvr.exe            c:\windows\system32\wocfiba.exe

+ AppSvc32.exe            c:\windows\system32\wocfiba.exe

+ autoruns.exe            c:\windows\system32\wocfiba.exe

+ avconsol.exe            c:\windows\system32\wocfiba.exe

+ avgrssvc.exe            c:\windows\system32\wocfiba.exe

+ AvMonitor.exe            c:\windows\system32\wocfiba.exe

+ avp.com            c:\windows\system32\wocfiba.exe

+ avp.exe            c:\windows\system32\wocfiba.exe

+ CCenter.exe            c:\windows\system32\wocfiba.exe

+ ccSvcHst.exe            c:\windows\system32\wocfiba.exe

+ EGHOST.exe            c:\windows\system32\wocfiba.exe

+ FileDsty.exe            c:\windows\system32\wocfiba.exe

+ FTCleanerShell.exe            c:\windows\system32\wocfiba.exe

+ FYFireWall.exe            c:\windows\system32\wocfiba.exe

+ HijackThis.exe            c:\windows\system32\wocfiba.exe

+ IceSword.exe            c:\windows\system32\wocfiba.exe

+ iparmo.exe            c:\windows\system32\wocfiba.exe

+ Iparmor.exe            c:\windows\system32\wocfiba.exe

+ isPwdSvc.exe            c:\windows\system32\wocfiba.exe

+ kabaload.exe            c:\windows\system32\wocfiba.exe

+ KaScrScn.SCR            c:\windows\system32\wocfiba.exe

+ KASMain.exe            c:\windows\system32\wocfiba.exe

+ KASTask.exe            c:\windows\system32\wocfiba.exe

+ KAV32.exe            c:\windows\system32\wocfiba.exe

+ KAVDX.exe            c:\windows\system32\wocfiba.exe

+ KAVPF.exe            c:\windows\system32\wocfiba.exe

+ KAVPFW.exe            c:\windows\system32\wocfiba.exe

+ KAVSetup.exe            c:\windows\system32\wocfiba.exe

+ KAVStart.exe            c:\windows\system32\wocfiba.exe

+ KISLnchr.exe            c:\windows\system32\wocfiba.exe

+ KMailMon.exe            c:\windows\system32\wocfiba.exe

+ KMFilter.exe            c:\windows\system32\wocfiba.exe

+ KPFW32.exe            c:\windows\system32\wocfiba.exe

+ KPFW32X.exe            c:\windows\system32\wocfiba.exe

+ KPfwSvc.exe            c:\windows\system32\wocfiba.exe

+ KRegEx.exe            c:\windows\system32\wocfiba.exe

+ KRepair.com            c:\windows\system32\wocfiba.exe

+ KsLoader.exe            c:\windows\system32\wocfiba.exe

+ KVCenter.kxp            c:\windows\system32\wocfiba.exe

+ KvDetect.exe            c:\windows\system32\wocfiba.exe

+ KvfwMcl.exe            c:\windows\system32\wocfiba.exe

+ KVMonXP.kxp            c:\windows\system32\wocfiba.exe

+ KVMonXP_1.kxp            c:\windows\system32\wocfiba.exe

+ kvol.exe            c:\windows\system32\wocfiba.exe

+ kvolself.exe            c:\windows\system32\wocfiba.exe

+ KvReport.kxp            c:\windows\system32\wocfiba.exe

+ KVScan.kxp            c:\windows\system32\wocfiba.exe

+ KVSrvXP.exe            c:\windows\system32\wocfiba.exe

+ KVStub.kxp            c:\windows\system32\wocfiba.exe

+ kvupload.exe            c:\windows\system32\wocfiba.exe

+ kvwsc.exe            c:\windows\system32\wocfiba.exe

+ KvXP.kxp            c:\windows\system32\wocfiba.exe

+ KvXP_1.kxp            c:\windows\system32\wocfiba.exe

+ KWatch.exe            c:\windows\system32\wocfiba.exe

+ KWatch9x.exe            c:\windows\system32\wocfiba.exe

+ KWatchX.exe            c:\windows\system32\wocfiba.exe

+ loaddll.exe            c:\windows\system32\wocfiba.exe

+ MagicSet.exe            c:\windows\system32\wocfiba.exe

+ mcconsol.exe            c:\windows\system32\wocfiba.exe

+ mmqczj.exe            c:\windows\system32\wocfiba.exe

+ mmsk.exe            c:\windows\system32\wocfiba.exe

+ Navapsvc.exe            c:\windows\system32\wocfiba.exe

+ Navapw32.exe            c:\windows\system32\wocfiba.exe

+ nod32.exe            c:\windows\system32\wocfiba.exe

+ nod32krn.exe            c:\windows\system32\wocfiba.exe

+ nod32kui.exe            c:\windows\system32\wocfiba.exe

+ NPFMntor.exe            c:\windows\system32\wocfiba.exe

+ PFW.exe            c:\windows\system32\wocfiba.exe

+ PFWLiveUpdate.exe            c:\windows\system32\wocfiba.exe

+ QHSET.exe            c:\windows\system32\wocfiba.exe

+ QQDoctor.exe            c:\windows\system32\wocfiba.exe

+ QQKav.exe            c:\windows\system32\wocfiba.exe

+ Ras.exe            c:\windows\system32\wocfiba.exe

+ Rav.exe            c:\windows\system32\wocfiba.exe

+ RavMon.exe            c:\windows\system32\wocfiba.exe

+ RavMonD.exe            c:\windows\system32\wocfiba.exe

+ RavStub.exe            c:\windows\system32\wocfiba.exe

+ RavTask.exe            c:\windows\system32\wocfiba.exe

+ RegClean.exe            c:\windows\system32\wocfiba.exe

+ rfwcfg.exe            c:\windows\system32\wocfiba.exe

+ rfwmain.exe            c:\windows\system32\wocfiba.exe

+ rfwsrv.exe            c:\windows\system32\wocfiba.exe

+ RsAgent.exe            c:\windows\system32\wocfiba.exe

+ Rsaupd.exe            c:\windows\system32\wocfiba.exe

+ runiep.exe            c:\windows\system32\wocfiba.exe

+ safelive.exe            c:\windows\system32\wocfiba.exe

+ scan32.exe            c:\windows\system32\wocfiba.exe

+ shcfg32.exe            c:\windows\system32\wocfiba.exe

+ SmartUp.exe            c:\windows\system32\wocfiba.exe

+ SREng.EXE            c:\windows\system32\wocfiba.exe

+ symlcsvc.exe            c:\windows\system32\wocfiba.exe

+ SysSafe.exe            c:\windows\system32\wocfiba.exe

+ TrojanDetector.exe            c:\windows\system32\wocfiba.exe

+ Trojanwall.exe            c:\windows\system32\wocfiba.exe

+ TrojDie.kxp            c:\windows\system32\wocfiba.exe

+ UIHost.exe            c:\windows\system32\wocfiba.exe

+ UmxAgent.exe            c:\windows\system32\wocfiba.exe

+ UmxAttachment.exe            c:\windows\system32\wocfiba.exe

+ UmxCfg.exe            c:\windows\system32\wocfiba.exe

+ UmxFwHlp.exe            c:\windows\system32\wocfiba.exe

+ UmxPol.exe            c:\windows\system32\wocfiba.exe

+ upiea.exe            c:\windows\system32\wocfiba.exe

+ UpLive.exe            c:\windows\system32\wocfiba.exe

+ vsstat.exe            c:\windows\system32\wocfiba.exe

+ webscanx.exe            c:\windows\system32\wocfiba.exe

+ WoptiClean.exe            c:\windows\system32\wocfiba.exe
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:05 | 只看楼主 短消息 资料
字号: 7楼

以上操作完成后,重启系统。系统回复正常(图6)。

图6

附件附件:

下载次数:248
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:05:43
描述:
预览信息:EXIF信息
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-01 09:16 | 短消息 资料
字号: 8楼

呵呵!!!!
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-01 09:52 | 短消息 资料
字号: 9楼

学习了``

现在病毒实在太疯狂了```
gototop
 
菜鸟玩病毒
头像
拙长孩提狮
  • 帖子:119
  • 注册: 2006-11-12
  • 来自:
发表于: 2007-06-01 11:05 | 短消息 资料
字号: 10楼

【回复“baohe”的帖子】
学习,不知道猫叔测试了那个8位数的随机病毒没有,连tiny都被它强行关闭了,真疯狂。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT