瑞星卡卡安全论坛瑞星2008全功能体验杀毒软件[已关闭] 【求助】新木马瑞星不能识别!~主动防御无效

123   3  /  3  页   跳转

【求助】新木马瑞星不能识别!~主动防御无效

收藏
majia001
头像
健康舞勺狮
  • 帖子:219
  • 注册: 2007-08-27
  • 来自:
发表于: 2007-08-30 00:37 | 短消息 资料
字号: 21楼

========Content========
引用:
【kkood的贴子】可能是用某些漏洞绕过了瑞星的拒绝
………………


引用:
【shouhou的贴子】真的在19.38.22中解决了
………………


关心点"拒绝"依然被注入的问题
gototop
 
ras10
头像
在线技术支持工程师
  • 帖子:147
  • 注册: 2007-07-30
  • 来自:
发表于: 2007-08-30 09:35 | 短消息 资料
字号: 22楼

引用:
【kkood的贴子】虽然瑞星提示了注入了
我也点了拒绝
………………


    DLL注入的方式有多种,从图上看是拦截了钩子的注入。但如果病毒使用了
远程线程加载DLL方式注入等.一样可以达到DLL注入的效果。(这就取决于你对QQ的
保护是否选用了防代码注入,防内存篡改等。。。)
    对于QQ的保护,最好使用工具--应用保护向导功能。自动加入。
 
gototop
 
过客2007
头像
版主
  • 帖子:16652
  • 注册: 2006-10-18
  • 来自:¤懒神↗之家£
年度优秀版主奖一帮一小组成员
发表于: 2007-08-30 09:38 | 短消息 资料
字号: 23楼

引用:
【ras10的贴子】

    DLL注入的方式有多种,从图上看是拦截了钩子的注入。但如果病毒使用了
远程线程加载DLL方式注入等.一样可以达到DLL注入的效果。(这就取决于你对QQ的
保护是否选用了防代码注入,防内存篡改等。。。)
    对于QQ的保护,最好使用工具--应用保护向导功能。自动加入。
 

………………



问一下,是否使用应用程序保护向导,就会保护受保护程序的安装目录?
gototop
 
kkood
头像
初生襁褓狮
  • 帖子:648
  • 注册: 2007-08-02
  • 来自:
发表于: 2007-08-30 09:44 | 只看楼主 短消息 资料
字号: 24楼

我也想知道能不能保护安装文件....
gototop
 
ras10
头像
在线技术支持工程师
  • 帖子:147
  • 注册: 2007-07-30
  • 来自:
发表于: 2007-08-30 09:44 | 短消息 资料
字号: 25楼

引用:
【过客2007的贴子】


问一下,是否使用应用程序保护向导,就会保护受保护程序的安装目录?
………………

  不会,向导只是帮助大家自动把“应用程序保护规则加入”。
应用程序保护的规则里大家就能看出:该功能的最重要好处是保护指定的进程。
最直观的就是如果保护得当,木马很难得到它想要的信息如:“账号,密码”等等。
gototop
 
kkood
头像
初生襁褓狮
  • 帖子:648
  • 注册: 2007-08-02
  • 来自:
发表于: 2007-08-30 09:48 | 只看楼主 短消息 资料
字号: 26楼

那如果程序有重大更新加入了新模块什么的
瑞星能识别吗
gototop
 
gchantivirus
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-09-03
  • 来自:
发表于: 2007-09-03 01:44 | 短消息 资料
字号: 27楼

这是一个通过U盘传播的木马下载器。
File: Hide.exe
Size: 24501 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: F7E7A6F787B1790BC60A02D4B3F33F7E
SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C
CRC32: 4470B037

生成如下文件:
%system32%\wnipsvr.exe

同时注册服务Visual WEB
启动类型:自动
显示名称:NetworSVSA
服务描述:允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。
达到开机启动的目的

在每个分区下面生成一个Hide.exe和autorun.inf
达到通过移动存储传播的目的

后台调用使用cmd调用wnipsvr.exe的down参数下载木马

读取http://xz.*.info/ad.txt的下载配置文件下载木马
http://xz.*.info/1.exe~http://xz.*.info/19.exe
到%program files%下面分别命名为pro1.exe~pro19.exe

下载的木马主要盗取以下几种网络游戏的帐号(包括但不限于)
奇迹世界
QQ华夏
天龙八部
大话西游II
机战ZeroOnline公测版
魔域
问道
完美世界
风云-雄霸天下
QQ

以上木马均能关闭自动更新和Windows防火墙
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

下面建立相关键值达到开机启动目的


木马植入成功后,生成如下文件:
%system32%\*ini.dll
%system32%\*ins.exe
%system32%\*pri.dll
%system32%\*man.dll
%system32%\*set.exe
(括号内的*一般为随机3个字母)

%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\sers.exe(建立一个服务)

本例中对应的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><wggpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll> []
<{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll> []
<{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll> []
<{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll> []
<{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll> []
<{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll> []
<{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll> []
<{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll> []
<{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll> []
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet
Explorer\PLUGINS\WinSys64.Sys> []

服务
[NetworSVSA / Visual WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>
[Telephonyl / Windowsve][Stopped/Auto Start]
<C:\WINDOWS\system32\sers.exe><N/A>

清除办法:
1.清除病毒主程序
打开sreng (http://download.kztechs.com/files/sreng2.zip)

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
NetworSVSA / Visual WEB

2.清除*pri.dll,*man.dll等盗号木马
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:\Windows\system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
开sreng 启动选项 查看

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll,ztaman.dll
然后还是搜索这些文件 然后把他们重命名



3.打开sreng
启动项目 注册表 删除如下项目
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet
Explorer\PLUGINS\WinSys64.Sys> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephonyl / Windowsve

4.重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入系统所在磁盘(默认C盘)
删除如下文件
hide.exe
autorun.inf
%system32%\*ini.dll
%system32%\*ins.exe
(括号内的*一般为随机3个字母)
%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%SystemRoot%/system32\sers.exe
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\wnipsvr.exe
以及你重命名的那些
%system32%\*pri.dll
%system32%\*man.dll

从左边的资源管理器 进入其他磁盘
删除hide.exe
autorun.inf

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是

C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

%SystemRoot%/ WINDODWS所在目录

%ProgramFiles%\ 系统程序默认安装目录
gototop
 
蓝天白云128
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-03-16
  • 来自:
发表于: 2007-09-03 09:08 | 短消息 资料
字号: 28楼

引用:
【gchantivirus的贴子】这是一个通过U盘传播的木马下载器。
Hide.exe
Size: 24501 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: F7E7A6F787B1790BC60A02D4B3F33F7E
SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C
CRC32: 4470B037

生成如下文件:
%system32%\wnipsvr.exe

同时注册服务Visual WEB
启动类型:自动
显示名称:NetworSVSA
服务描述:允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。
达到开机启动的目的

在每个分区下面生成一个Hide.exe和autorun.inf
达到通过移动存储传播的目的

后台调用使用cmd调用wnipsvr.exe的down参数下载木马

读取http://xz.*.info/ad.txt的下载配置文件下载木马
http://xz.*.info/1.exe~http://xz.*.info/19.exe
到%program files%下面分别命名为pro1.exe~pro19.exe

下载的木马主要盗取以下几种网络游戏的帐号(包括但不限于)
奇迹世界
QQ华夏
天龙八部
大话西游II
机战ZeroOnline公测版
魔域
问道
完美世界
风云-雄霸天下
QQ

以上木马均能关闭自动更新和Windows防火墙
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

下面建立相关键值达到开机启动目的


木马植入成功后,生成如下文件:
%system32%\*ini.dll
%system32%\*ins.exe
%system32%\*pri.dll
%system32%\*man.dll
%system32%\*set.exe
(括号内的*一般为随机3个字母)

%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\sers.exe(建立一个服务)

本例中对应的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><wggpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll> []
<{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll> []
<{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll> []
<{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll> []
<{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll> []
<{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll> []
<{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll> []
<{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll> []
<{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll> []
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet
Explorer\PLUGINS\WinSys64.Sys> []

服务
[NetworSVSA / Visual WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>
[Telephonyl / Windowsve][Stopped/Auto Start]
<C:\WINDOWS\system32\sers.exe><N/A>

清除办法:
1.清除病毒主程序
打开sreng (http://download.kztechs.com/files/sreng2.zip)

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
NetworSVSA / Visual WEB

2.清除*pri.dll,*man.dll等盗号木马
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:\Windows\system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
开sreng 启动选项 查看

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll,ztaman.dll
然后还是搜索这些文件 然后把他们重命名



………………


楼主能否做个自动批处理文件,自动处理这些问题,不然,每次要进行注册表和这些操作,麻烦啊。
gototop
 
Microsoftdotnet
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2007-07-30
  • 来自:
发表于: 2007-09-03 09:31 | 短消息 资料
字号: 29楼

瑞星应用程序保护是主动防御的一部分,如果它有提示用户,证明已经起作用了,我建议如果不清楚注入程序的名称和注入程序所属的程序,不清楚注入程序的开发商,那么最好直点拒绝就是了。
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT