一个比较隐蔽且难杀的pdf病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一个比较隐蔽且难杀的pdf病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 一个比较隐蔽且难杀的pdf病毒

本主题由大版主 baohe 于 2010-2-23 8:22:39 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-02-21 00:10 \| 只看楼主短消息资料字号：小中大 1楼一个比较隐蔽且难杀的pdf病毒样本是个scr 1.jpg (86.29 K) 2010-2-21 0:09:39 此scr运行后，在C:\Documents and Settings\All Users\目录下创建一个MDR目录，其中释放随机文件名的病毒文件.pdf 此pdf插入一个svchost进程中运行 2.jpg (440.96 K) 2010-2-21 0:09:39 此pdf以服务加载 3.jpg (121.79 K) 2010-2-21 0:09:39 病毒文件无法直接删除 4.jpg (139.43 K) 2010-2-21 0:09:39 杀毒流程： 1、禁止任何程序在C:\Documents and Settings\All Users\MDR目录创建、写入文件（这步我用Tiny实现）。 2、结束带pdf的那个svchost进程。 3、用IceSword强制删除那个随机名的病毒文件.pdf（需反复强制删除几次）。 4、删除病毒添加的服务项。用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

Enao2005 版主帖子:2112 注册: 2004-12-02 来自:	发表于： 2010-02-21 01:09 \| 短消息资料字号：小中大 2楼回复：一个比较隐蔽且难杀的pdf病毒 sreng能扫到不？要是扫不到，猫叔样本共享下 PM偶时请附上求助贴的地址...
Enao2005 版主帖子:2112 注册: 2004-12-02 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2010-02-21 12:13 \| 短消息资料字号：小中大 3楼回复：一个比较隐蔽且难杀的pdf病毒占座学习。那这个病毒运行起来后都做些什么呢？
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2010-02-21 12:52 \| 短消息资料字号：小中大 4楼回复：一个比较隐蔽且难杀的pdf病毒看样子估计是个后门病毒
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-02-21 14:30 \| 只看楼主短消息资料字号：小中大 5楼回复: 一个比较隐蔽且难杀的pdf病毒引用: 原帖由 newcenturymoon 于 2010-2-21 12:52:00 发表看样子估计是个后门病毒貌似是个反弹木马。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:	发表于： 2010-02-21 16:10 \| 短消息资料字号：小中大 6楼回复：一个比较隐蔽且难杀的pdf病毒猫叔，能提供一下样本吗？想下来看看
DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-02-21 17:04 \| 只看楼主短消息资料字号：小中大 7楼回复: 一个比较隐蔽且难杀的pdf病毒引用: 原帖由 DoctorLc 于 2010-2-21 16:10:00 发表猫叔，能提供一下样本吗？想下来看看解压密码：123 附件: 文件名:1.rar 下载次数:327 文件类型:application/x-rar-compressed 文件大小: 上传时间:2010-2-21 17:04:18 描述:rar
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:	发表于： 2010-02-21 20:38 \| 短消息资料字号：小中大 8楼回复: 一个比较隐蔽且难杀的pdf病毒引用: 原帖由 baohe 于 2010-2-21 17:04:00 发表引用: 原帖由 DoctorLc 于 2010-2-21 16:10:00 发表猫叔，能提供一下样本吗？想下来看看解压密码：123 猫叔，我有个小疑惑。为何第一步要禁止任何程序对DRM目录进行创建、写入文件呢？
DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-02-21 21:38 \| 只看楼主短消息资料字号：小中大 9楼回复: 一个比较隐蔽且难杀的pdf病毒引用: 原帖由 DoctorLc 于 2010-2-21 20:38:00 发表引用: 原帖由 baohe 于 2010-2-21 17:04:00 发表引用: 原帖由 DoctorLc 于 2010-2-21 16:10:00 发表猫叔，能提供一下样本吗？想下来看看解压密码：123 猫叔，我有个小疑惑。为何第一步要禁止任何程序对DRM目录进行你删除那个目录下的病毒文件.pdf时，内存中的病毒会在该目录下立即回写。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:	发表于： 2010-02-21 22:15 \| 短消息资料字号：小中大 10楼回复：一个比较隐蔽且难杀的pdf病毒谢谢猫叔，样本拿走回去测试一下要深入，要专一.......
辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT