对一个恶意程序的测试 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区对一个恶意程序的测试

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[问题/讨论] 对一个恶意程序的测试

辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:	发表于： 2010-02-24 21:54 \| 只看楼主短消息资料字号：小中大 1楼对一个恶意程序的测试最近在论坛看到那些主页修改的求助帖，自己在回复的时候，根本没有一点头绪，虽然有月月置顶贴，但是不知道怎样更快更好的回答求助者，所以准备找几个典型的恶意程序亲身测试一下，从中总结点经验。样本地址：http://bbs.ikaka.com/showtopic-8695952.aspx 紧跟着毫不犹豫的双击运行，很快就出现几个对话框，这个是恶意软件的主要特征之一，明明是下载的安装包，但是仅仅有几KB大小，并且安装速度很快，还有很迷惑人的结束语，然后自动转到恶意网址附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件随后，桌面情况变化最大的就是IE浏览器，还有就是慕名而来的图标，删也删不掉！！尝试右键删除，还会自动复制本身，打开IE就不是自己的主页，自己的软件也没有被安装附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件还有就是回收站也发生了变化，图标变成了IE图标，打开的时候，会转到篡改的IE主页附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件这种恶意软件的恶意行为也就这点猫腻，其他就没有什么动作了，只要在不断修改注册表，其目的就是恶意篡改主页随后，就看看任务管理器里有，发现有一个浏览器的进程iexplore.exe，最可疑的就是我没有打开浏览器，他居然有浏览器的进程，找出XueTr0.32直接结束它附件: 您所在的用户组无法下载或查看附件然后就是通过搜索功能搜索一下它都创建了那些文件，一个一个的都删掉附件: 您所在的用户组无法下载或查看附件随后就是按照月月那个置顶帖子，一个一个的尝试各种工具，看看哪种情况适合什么样的工具，具体的问题具体分析，在回贴子的时候，给予求助者最好的解决方案首先就是尝试FixIE_Plus这个工具，但是在使用的时候，效果不怎样，基本是没有什么变化附件: 您所在的用户组无法下载或查看附件这个不行，那就试试1188专杀工具附件: 您所在的用户组无法下载或查看附件接下来就上windows清理助手测试版，用绿色版直接升级到最新版，然后扫描，就发现一个可疑程序，但是只是一个ico图标文件，但是我就想怎么才查出一个问题项，不管那么多，直接转到文件所在文件夹，看到windows清理助手扫描的可疑文件，但又发现了其他两个可疑的，没办法就尝试一下按照创建时间搜索，看看是否还有其他可疑文件，但是没有搜索到任何文件，无奈之下，自己手动找到那些可疑的直接删除了事附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2) 辛达星郁最后编辑于 2010-02-24 21:58:22 要深入，要专一.......
辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:	分享到：

辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:	发表于： 2010-02-24 21:55 \| 只看楼主短消息资料字号：小中大 2楼回复: 对一个恶意程序的测试接下来就是那两个可疑的图标的删除了，我尝试右键删除，但还是老样子，图标没有被删除而是自动复制了，接下来我就介绍一个方法：删除这种畸形图标，可以打开“我的电脑”，然后点击“向上”按钮，在这里删除这个方法是从月月那里得到启发附件: 您所在的用户组无法下载或查看附件删除之后问题差不多就已经解决了，出于学习的目的，我又在用双IE及异常桌面图标扫描日志工具扫描日志看看注册表里还有什么残余，顺手也熟悉一下注册表这块的知识附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件本帖被评分 2 次本帖被评分 2 次要深入，要专一.......
辛达星郁锋芒艾服狮帖子:1507 注册: 2008-07-17 来自:

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-02-28 02:03 \| 短消息资料字号：小中大 3楼回复: 对一个恶意程序的测试试试分析下我的这个标本，嘿嘿，那是相当的猥琐。我想看看你是怎么修复的，和这个软件到底在你的电脑中做了什么手脚，改天我也写一份，咱俩对比下吧，呵呵附件: 您所在的用户组无法下载或查看附件本帖被评分 1 次本帖被评分 1 次
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

梅罗自信弱冠狮帖子:430 注册: 2010-01-18 来自:永烁星光之地	发表于： 2010-02-28 16:04 \| 短消息资料字号：小中大 4楼回复：对一个恶意程序的测试给分支持原创~ 天地间那一抹不灭的流光即我
梅罗自信弱冠狮帖子:430 注册: 2010-01-18 来自:永烁星光之地

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT