关于近期1.exe的木马群病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于近期1.exe的木马群病毒

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[原创] 关于近期1.exe的木马群病毒

本主题由版主天月来了于 2009-8-17 18:31:34 执行关闭主题/取消操作

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-02 10:52 \| 只看楼主短消息资料字号：小中大 1楼关于近期1.exe的木马群病毒调用RUNDLL32创建进程源头在taskkill.exe comres.dll 1.jpg (106.90 K) 2009-5-2 10:51:59 释放喽啰，最后留下一个守护的（没截图) 2.jpg (136.79 K) 2009-5-2 10:51:59 3.jpg (71.02 K) 2009-5-2 10:51:59 4.jpg (138.56 K) 2009-5-2 10:51:59 [attachimg]515282[/attachimg][attachimg]515282[/attachimg] 6.jpg (207.96 K) 2009-5-2 10:51:59 7.jpg (166.34 K) 2009-5-2 10:51:59 8.jpg (116.04 K) 2009-5-2 10:51:59 9.jpg (100.62 K) 2009-5-2 10:51:59 [attachimg]515287[/attachimg][attachimg]515287[/attachimg] smallyou93发表为了方便看，弄到了楼顶先加载%SystemRoot%\aboy.dll 释放驱动并安装 %SystemRoot%\system32\drivers\pcidump.sys 调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件 Windows XP Professional-2009-05-04-18-56-13.png (67.95 K) 2009-5-4 19:05:35 SRENG反而没被感染，倒是俺的ED等删除工具被感染（打包见VIRUS.ZIP）总之清除难度很大 COMRES.dll被替换 aboy.dll含有RPC攻击！局域网没打补丁的话就爆发了 QQ目录下有东西生成非系统盘有QQfish木马 2.jpg (89.34 K) 2009-5-17 21:40:50 手动清除建议下载正常版本的COMRES.dll 删除aboy.dll 删除AUTORUN.inf 删除HOSTS的文件内容 DOS下删除病毒文件用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Embedded Web Browser from: http://bsalsa.com/; InfoPath.1; .NET CLR 2.0.50727) 本帖被评分 1 次本帖被评分 1 次夲號ヱ被ジ盜最后编辑于 2009-05-17 21:40:50
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	分享到：

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2009-05-02 11:01 \| 短消息资料字号：小中大 2楼回复：刚才天月给的木马群样本 aboy.dll文件应该不是替换吧？？？而是病毒直接创建吧得删除系统Windows文件夹内的这文件还有是否存在感染其他盘文件的行为呢？？百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-05-04 18:28 \| 短消息资料字号：小中大 3楼 http://ainikv.cn/06/06.exe 调用cmd执行以下命令 cacls %SystemRoot%\System32 /e /p everyone:f cacls "%Temp%\" /e /p everyone:f sc config ekrn start= disabled sc config avp start= disabled taskkill /im ekrn.exe /f taskkill /im egui.exe /f taskkill /im ScanFrm.exe /f taskkill /im avp.exe /f 释放文件 %SystemRoot%\aboy.dll %SystemRoot%\System32\killkb.dll X:\1.exe X:\autorun.inf 加载%SystemRoot%\System32\killkb.dll rundll32.exe C:\WINDOWS\system32\killkb.dll, droqp 篡改文件 %SystemRoot%\System32\drivers\acpiec.sys 并加载，实现恢复SSDT 加载%SystemRoot%\aboy.dll，感染非分区文件调用ipconfig.exe执行命令 ipconfig.exe /ALL 引用: aboy.dll含有RPC攻击！局域网没打补丁的话就爆发了）难道是这个，不懂，飘过.. 联网下载病毒 http://ainikv.cn/33.txt 1:http://yygeiwofc.cn/77/77.exe 1:http://yygeiwofc.cn/77/0.exe 1:http://yygeiwofc.cn/77/1.exe 1:http://yygeiwofc.cn/77/2.exe 1:http://yygeiwofc.cn/77/3.exe 1:http://yygeiwofc.cn/77/4.exe 1:http://yygeiwofc.cn/77/5.exe 1:http://yygeiwofc.cn/77/6.exe 1:http://yygeiwofc.cn/77/7.exe 1:http://yygeiwofc.cn/77/9.exe 1:http://yygeiwofc.cn/77/8.exe 1:http://yygeiwofc.cn/77/10.exe 1:http://yygeiwofc.cn/77/16.exe 1:http://yygeiwofc.cn/77/17.exe 1:http://yygeiwofc.cn/77/18.exe 1:http://yygeiwofc.cn/77/19.exe 1:http://yygeiwofc.cn/77/21.exe 1:http://yygeiwofc.cn/77/24.exe 1:http://yygeiwofc.cn/77/26.exe 1:http://yygeiwofc.cn/77/30.exe 1:http://yygeiwofc.cn/77/31.exe 1:http://yygeiwofc.cn/77/35.exe 1:http://yygeiwofc.cn/77/88.exe 1:http://yygeiwofc.cn/77/qq.exe
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2009-05-04 18:31 \| 短消息资料字号：小中大 4楼回复：刚才天月给的木马群样本加载%SystemRoot%\aboy.dll，感染非分区文件?????? 确实感染了？？？只感染.exe文件？？？？？你观察仔细了？？？？百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-05-04 18:33 \| 短消息资料字号：小中大 5楼回复 12F 天月来了的帖子貌似是的，我的非分区文件只有.exe，tiny的监控的确监控到加载aboy.dll后就感染非分区文件
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2009-05-04 18:54 \| 短消息资料字号：小中大 6楼回复：刚才天月给的木马群样本难怪好象处理的几个求助的，都没能清理完全反复中毒干脆以后不论什么木马群，都要其他分区的.exe文件来看得了你将你那被感染的其他盘的单文件可运行的.exe文件发两个来看看例如SRENG工具什么的看看现在的瑞星能否检测清除感染天月来了最后编辑于 2009-05-04 18:55:19 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-05-04 19:05 \| 短消息资料字号：小中大 7楼回复: 刚才天月给的木马群样本先加载%SystemRoot%\aboy.dll 释放驱动并安装 %SystemRoot%\system32\drivers\pcidump.sys 调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件 Windows XP Professional-2009-05-04-18-56-13.png (67.95 K) 2009-5-4 19:05:35 SRENG反而没被感染，倒是俺的ED等删除工具被感染（打包见VIRUS.ZIP） Windows XP Professional-2009-05-04-18-57-27.png (68.45 K) 2009-5-4 19:04:50 附件: 文件名:aboy.zip 下载次数:652 文件类型:application/zip 文件大小: 上传时间:2009-5-4 19:04:50 描述:zip 附件: 文件名:VIRUS.zip 下载次数:745 文件类型:application/zip 文件大小: 上传时间:2009-5-4 19:08:16 描述:zip smallyou93 最后编辑于 2009-05-04 19:10:21
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-04 19:41 \| 只看楼主短消息资料字号：小中大 8楼回复：刚才天月给的木马群样本多谢添加下载的样本你也弄来了全盗号木马（Trojan.OnlineGameTheif) 我测试时发现总共创建了35个进程。。。。真的写入我用PRESS EXPLORER忘了看加载的DLL了夲號ヱ被ジ盜最后编辑于 2009-05-04 19:42:35
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2009-05-05 08:46 \| 短消息资料字号：小中大 9楼回复：刚才天月给的木马群样本还不错瑞星竟然已可清除感染百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123	发表于： 2009-05-05 09:00 \| 短消息资料字号：小中大 10楼回复：刚才天月给的木马群样本 15楼的样本，瑞星最新版本病毒库：21.28.04已经可以查杀。
万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT