求教猫叔，这个新型木马如何手动清除之？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 菜鸟学堂求教猫叔，这个新型木马如何手动清除之？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[讨论] 求教猫叔，这个新型木马如何手动清除之？

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-06-15 23:10 \| 只看楼主短消息资料字号：小中大 1楼求教猫叔，这个新型木马如何手动清除之？ [复制到剪贴板] CODE: 文件名：server.exe CRC32: 238AAB13 MD5: C40DCD0EE8B8DC1D51C97AABF3093CCC SHA-1: CD7DBB166AA4DB95D62B183CA211E4BBED2BEC41 这个病毒是一个盗号木马，图标高仿ACD，具有很高的伪装性，这个木马会释放并打开一个图片。个人感觉都是比较新的特性。但是苦于自己能力的不足，找不到手动删除的方法，特此请教猫叔。 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData 创建文件：C:\WINDOWS\mytupian.jpg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Personal HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\{e9429e60-44b9-11df-af12-806d6172696f}\\BaseClass HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e61-44b9-11df-af12-806d6172696f}\\BaseClass HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e62-44b9-11df-af12-806d6172696f}\\BaseClass HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e65-44b9-11df-af12-ad4d1497141e}\\BaseClass HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Desktop HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\Program Files\ACDSee5 调用C:\Program Files\ACDSee5\ACDSee5.exe 于此同时调用C:\WINDOWS\system32\taskkill.exe不停的杀掉一些加载的dll文件利用taskkill.exe 创建 inproc COM server WBEM Locator //这个没理解什么意思，好像是加载了一个什么服务项，但是没有发现有啥新建的服务还是askkill.exe 创建 inproc COM server 好像是添加键值{00000000-0000-0000-0000-000000000000} 还是taskkill.exe创建 inproc COM server 应该是启动这个服务项Windows Management and Instrumentation 还是taskkill.exe创建 inproc COM server 好像是添加键值 {00000339-0000-0000-C000-000000000046} 还是taskkill.exe 使用Using dangerous system privileges（使用危险的系统特权） AdjustTokenPrivileges(SeDebugPrivilege)（这个也没知道是啥意思）下面貌似写了一个循环保证Windows Management and Instrumentation能启动。 taskkill.exe Create inproc COM server（这句是什么意思？） PSFactoryBuffer taskkill.exe Create inproc COM server （貌似是端口通信之类的服务还是啥）Microsoft WBEM WbemClassObject Marshalling proxy 这个盗号木马感觉是比较猥琐的那种，没有进程，没有服务项，网络连接一般的软件也是检测不出来的。那天SSM检测了下，感觉隐蔽性很好，回来又用TINY详细的看看，好像只是修改了一些注册表，还有加载动态函数库，服务之类运行前后也进行了比对下，运行完，和运行后几乎是一样的。我现在是不知道怎么手动的删除它，以上是不详细的病毒行为分析报告吧。还请猫叔能指教下，哪个地方分析的不对，还有分析中要注意的事项，以及手动清除的方法，不胜感激。附件: 盗号木马.rar (2010-6-15 23:09:52, 574.77 K) 该附件被下载次数 774 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Sicent; WoShiHoney.B; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) jks_风最后编辑于 2010-06-16 03:38:43
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	分享到：

dg328 初生襁褓狮帖子:10 注册: 2010-04-15 来自:	发表于： 2010-07-16 23:20 \| 短消息资料字号：小中大 2楼回复：求教猫叔，这个新型木马如何手动清除之？好像是QQ盗号的吧，不断的关闭QQ进程和查找QQ目录
dg328 初生襁褓狮帖子:10 注册: 2010-04-15 来自:

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-07-28 23:29 \| 只看楼主短消息资料字号：小中大 3楼回复 3F dg328 的帖子恩每天都能看见一些牛人来坛子里。不知道咋分析了。求解
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2010-07-28 23:43 \| 短消息资料字号：小中大 4楼回复: 求教猫叔，这个新型木马如何手动清除之？没看到这个动作？请去可疑文件交流区讨论 QQ截图未命名.png (323.23 K) 2010-7-28 23:42:38
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-08-10 15:41 \| 短消息资料字号：小中大 5楼回复 1F jks_风的帖子小儿科水平的一个QQ马。此毒运行后，将QQ安装目录下的正常程序QQ.EXE（144K）改名为QQ .EXE （注意文件名中加了一个空格），并将其设置为隐藏文件。然后，在同一位置释放木马程序QQ.EXE（大小1M多）。在%windows%目录下释放一个TBS.VBS及一张美女图片MyTupian.jpg。用户登录QQ，则访问一个黑客地址，发送QQ登陆口令。删除此马很简单：关闭QQ。删除QQ目录下的那个1M多大小的QQ.EXE 以及%windows%目录那个TBS.VBS。 MyTupian.jpg就是张美女图片，自己想看美女的话，可不删除。然后，显示隐藏文件，去掉被此马隐藏的正常QQ.EXE的隐藏属性。就这些。本帖被评分 1 次本帖被评分 1 次 baohe 最后编辑于 2010-08-10 15:43:23
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

筱碗版主帖子:38518 注册: 2009-11-28 来自:—活死人墓—	发表于： 2010-08-17 15:31 \| 短消息资料字号：小中大 6楼回复：求教猫叔，这个新型木马如何手动清除之？菜鸟过来学习了，原来牛人还是好多的
筱碗版主帖子:38518 注册: 2009-11-28 来自:—活死人墓—

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-08-17 18:34 \| 只看楼主短消息资料字号：小中大 7楼回复：求教猫叔，这个新型木马如何手动清除之？恩猫叔的分析太棒的求分析方法
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT