被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 菜鸟学堂被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[分享] 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-04-03 17:20 \| 只看楼主短消息资料字号：小中大 1楼被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒 1、此受感染程序不具备感染其它程序的能力。程序运行后，系统正常的资源管理器explorer.exe被改名为loader.exe，并存放到当前用户临时文件夹中。原windows目录及dllcache目录下的explorer.exe被病毒替换。除此之外，被病毒感染过的Slp3.exe运行后再无其它动作。下图是系统正常程序explorer.exe的MD5： 1.png (97.14 K) 2010-4-3 17:19:48 2、原windows目录及dllcache目录下的explorer.exe被病毒替换了。比较这三个程序的MD5即可判明： 2.png (326.80 K) 2010-4-3 17:19:48 3、开始用IceSword进行手工杀毒。先禁止进程创建： 3.png (112.85 K) 2010-4-3 17:19:48 4、结束explorer.exe进程： 4.png (155.74 K) 2010-4-3 17:19:48 5、删除dllcache目录下的explorer.exe： 5.png (139.20 K) 2010-4-3 17:19:48 6、删除windows目录下的explorer.exe： 6.png (112.89 K) 2010-4-3 17:19:48 7、将当前用户临时目录下的loader.exe拷贝到windows目录下： 7.png (120.09 K) 2010-4-3 17:19:48 8、拷贝loader.exe到windows目录时，文件名取为explorer.exe： 8.png (136.41 K) 2010-4-3 17:19:48 9、取消IceSword的“禁止进程创建”： 9.png (79.38 K) 2010-4-3 17:19:48 10、按CTRL_ALT_DEL三键，调出任务管理器。重新开启explorer.exe进程。 10.png (116.14 K) 2010-4-3 17:19:48 用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10 本帖被评分 1 次本帖被评分 1 次 baohe 最后编辑于 2010-04-03 17:25:18
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2010-04-03 19:39 \| 短消息资料字号：小中大 2楼回复：被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒看了半天，没发现一个人回帖。难道菜鸟都已经成长老鸟了么？看来我又落后了…… 我是菜鸟，问问题： 1、不知道猫叔怎么发现explorer.exe被挪到系统临时文件目录中去的？难道是全C盘搜索MD5? 2、猫叔所发属性图，是用啥软件实现查看“文件校验”标签的？打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-04-04 17:30 \| 只看楼主短消息资料字号：小中大 3楼回复: 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒引用: 原帖由超级游戏迷于 2010-4-3 19:39:00 发表看了半天，没发现一个人回帖。难道菜鸟都已经成长老鸟了么？看来我又落后了…… 我是菜鸟，问问题： 1、不知道猫叔怎么发现explorer.exe被挪到系统临时文件目录中去的？难道是全C盘搜索MD5? 2、猫叔所发属性图，是用啥软件实现查看“文件校验”标签的？ 1、用Tiny追踪回滚模式监测病毒行为。 2、我的XP系统，不用其它工具，右键查看文件“属性”，即刻看到其MD5 。（不用工具的话，并非所有文件都能看到MD5。）
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2010-04-06 20:46 \| 短消息资料字号：小中大 4楼回复 2F 超级游戏迷的帖子 Hashtab有这效果.... PS：终于能上网了呢
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2010-04-07 00:11 \| 短消息资料字号：小中大 5楼回复 5F backway 的帖子呼呼，等网络管制解禁后，俺也去找一下这个hashtab…… 目前还处在被管制状态，只能上新疆网和少数门户网站，搜索引擎网站、QQ和国外网站……不知道啥时候才能通…… 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2010-04-07 08:57 \| 短消息资料字号：小中大 6楼回复: 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒我引用: 原帖由超级游戏迷于 2010-4-7 0:11:00 发表呼呼，等网络管制解禁后，俺也去找一下这个hashtab…… 目前还处在被管制状态，只能上新疆网和少数门户网站，搜索引擎网站、QQ和国外网站……不知道啥时候才能通…… 我把Hashtab上传了，应该能下载吧。 QQ截图未命名.jpg (70.57 K) 2010-4-7 8:57:28 引用: MD5 hashes: HashTab Setup.exe: 5845F52D425C75E232B1AD5EE3B189A8 (windows) PS：把我上面重复的帖子删除吧，网速慢，回帖不容易...... 附件: 文件名:HashTab Setup.zip 下载次数:776 文件类型:application/octet-stream 文件大小: 上传时间:2010-4-7 8:57:28 描述:zip 本帖被评分 2 次本帖被评分 2 次 backway 最后编辑于 2010-04-07 09:01:17
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2010-04-18 14:13 \| 短消息资料字号：小中大 7楼回复：被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒我也见过这个情况，我现在的电脑上就有这个校验选项卡，不知道是微软带的还是什么原因，貌似雨林木风的系统上有这个东西。
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-04-18 20:54 \| 短消息资料字号：小中大 8楼回复：被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒猫叔TINY的追踪回滚模式是不是就是追踪的那个模式，我英文不咋滴好，现在也正在用TINY，呵呵，不过没敢在物理机上用，先开始熟悉下在用
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

hfhbutn 初生襁褓狮帖子:7 注册: 2010-05-05 来自:	发表于： 2010-05-05 16:16 \| 短消息资料字号：小中大 9楼回复：被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒被替换的explorer.exe都改了什么呢？
hfhbutn 初生襁褓狮帖子:7 注册: 2010-05-05 来自:

dg328 初生襁褓狮帖子:10 注册: 2010-04-15 来自:	发表于： 2010-05-07 23:10 \| 短消息资料字号：小中大 10楼回复：被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒很菜的问一下TINY是什么来的？工具吗？
dg328 初生襁褓狮帖子:10 注册: 2010-04-15 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT