1   1  /  1  页   跳转

[原创] 号称“第五代机器狗”

号称“第五代机器狗”

样本来自http://bbs.janmeng.com/thread-772070-1-1.html

挺牛的样子。
看看它这第五代有什么神奇的地方。关闭瑞星监控,关闭SSM,用Tiny 的Track'NReverse监控样本运行。

1/首先写入注册表这关就是问题:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs。死心眼儿!
2/结束它那三个进程。
3/扫个autoruns日志------暴露无遗。
4/对照autoruns日志,用IceSword一一删除其指向的程序及其注册表项。
5/最后,在搜索一下今天创建的文件,找到病毒文件一一删除。搞掂。

此例可见:注册表防护的重要性。
如果让它过了写HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs这关,收拾起来要麻烦许多。

用户系统信息:Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:1.jpg
下载次数:540
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 21:20:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:2.jpg
下载次数:574
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 21:20:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:3.jpg
下载次数:547
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 21:20:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:4.jpg
下载次数:509
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 21:20:17
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:5.jpg
下载次数:454
文件类型:image/jpeg
文件大小:
上传时间:2008-6-24 21:20:17
描述:jpg
预览信息:EXIF信息



本帖被评分 3 次
最后编辑baohe 最后编辑于 2008-06-24 21:22:25
分享到:
gototop
 

回复:号称“第五代机器狗”

猫叔的沙发
抢了再看帖
gototop
 

回复: 号称“第五代机器狗”

太长时间没有拜读到猫叔的大作了,看到了这篇,欣喜若狂啊

我眼疾手快,抢了个椅子,高兴
最后编辑一直在学习的人 最后编辑于 2008-06-24 21:29:46
gototop
 

回复: 号称“第五代机器狗”

见过这个DD,GPRF3.EXE这个病毒文件貌似可以在SRENG扫描日志的“隐藏进程”中显示……
打酱油的……
gototop
 

回复:号称“第五代机器狗”

猫叔回归啦~
收藏先
gototop
 

回复: 号称“第五代机器狗”



引用:
原帖由 lqqk7 于 2008-6-24 21:42:00 发表
猫叔回归啦~
收藏先

这个貌似不是机器狗。机器狗,俺有印象,不是这样子的。
gototop
 

回复:号称“第五代机器狗”

看到这个东西有两个驱动,有关闭瑞星监控,关闭SSM行为,它又有可能先下手为强了.
gototop
 

回复: 号称“第五代机器狗”



引用:
原帖由 一直在学习的人 于 2008-6-24 21:51:00 发表
看到这个东西有两个驱动,有关闭瑞星监控,关闭SSM行为,它又有可能先下手为强了.


是我事先关闭的瑞星监控和SSM。 不是病毒干的。
gototop
 

回复: 号称“第五代机器狗”

晕了,appinit_dlls这个注册表值项居然找不到了,昏迷……

难怪最近运行SRENGPS.EXE不出appinit_dlls被修改为默认值的提示,还不知道这个注册表值项啥时候丢的……

最后编辑超级游戏迷 最后编辑于 2008-06-24 22:18:44
打酱油的……
gototop
 

回复: 号称“第五代机器狗”



引用:
原帖由 超级游戏迷 于 2008-6-24 22:12:00 发表
晕了,appinit_dlls这个注册表值项居然找不到了,昏迷……

难怪最近运行SRENGPS.EXE不出appinit_dlls被修改为默认值的提示,还不知道这个注册表值项啥时候丢的……



这劳什子DD,没,就没了吧。省心。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT