12   1  /  2  页   跳转

机器狗新变种及其预防措施

机器狗新变种及其预防措施

样本来自剑盟社区http://bbs.janmeng.com/thread-705751-1-1.html
文件名:explorer.exe
文件大小:954K
MD5值:e89e8f1ab469a56342f823831cd9a
瑞星20.29.30扫此样本————不报毒。
在桌面上运行病毒文件后,病毒explorer.exe先运行dllcache文件夹中的explorer.exe;然后访问网络202.106.195.29、222.191.251.214、59.60.154.154、59.60.152.22、222.191.251.214。
在IE临时文件夹内创建O5PB3DVN\ggg[1].txt
在当前用户临时文件夹内创建~F*.tmp
在c:\windows\system32\drivers\目录下创建:
192yuioealdjfiefjsdfa2s.txt
2a.exe
2a.txt
3a.exe
3a.txt
.
.
.
25a.exe
25a.txt
此后,在system32文件夹释放“随机字母.dll”病毒文件若干。

结束掉原位运行的病毒进程explorer.exe,删除病毒DLL。完事。

初步观察,扫清战场后,采取如下措施:

XP专业版,在原来预防“机器狗”的“软件限制策略”基础上(http://forum.ikaka.com/topic.asp?board=28&artid=8422763),再添加两条路径策略,禁止c:\windows\system32\drivers\*.exe和*.dll即可完全防住这个机器狗新变种。

增加上述软件限制策略后,再次运行这个样本,病毒的上述活动过程均以失败告终。
此后,Tiny防火墙的监控记录中可见远程IP:222.222.27.11试图通过80端口访问系统,但均被Tiny一一拦截掉了。
查看SRENG日志,无异常。
至此,结束掉原位运行的病毒进程explorer.exe。完事。
最后编辑2008-02-28 15:19:17
分享到:
gototop
 

才在剑盟上看到,这边卡卡都有猫叔的分析了,真是快啊
gototop
 

越来越细化了。
gototop
 

我网吧中了四台 我的电脑图标改变!!!  explorer.exe 也被更改
gototop
 

【回复“baohe”的帖子】有没有“狡猾的狐狸”新木马的情况...
gototop
 

引用:
【大连蓝天的贴子】【回复“baohe”的帖子】有没有“狡猾的狐狸”新木马的情况...
………………

我没有此毒样本。
你若有,请发给我。谢谢!
gototop
 

顶一个
gototop
 

借问猫叔,怎么才能得到剑盟社区的邀请码?
gototop
 

猫叔好帖连发,学了再学!
gototop
 

增加上述软件限制策略后,再次运行这个样本,病毒的上述活动过程均以失败告终。
此后,Tiny防火墙的监控记录中可见远程IP:222.222.27.11试图通过80端口访问系统,但均被Tiny一一拦截掉了。
怎样把试图访问系统也去掉?
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT