1   1  /  1  页   跳转

Netlib.exe的特点及查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-10 23:10 | 只看楼主 短消息 资料
字号: 1楼

Netlib.exe的特点及查杀

今天,有个网友上传了Netlib.exe的样本(http://forum.ikaka.com/topic.asp?board=28&artid=6733470,1楼)。在我的系统中运行这个Netlib.exe,观察了一下,有以下发现:

这个后门( Backdoor.Win32.Codbot.ag)的一个特点是——注册为系统服务。感染后,如果没有其它第三方工具辅助,无法在WINDOWS下结束病毒进程Netlib.exe(图1)。
但是,这个后门也有“软肋”——缺乏注册表项的监控保护。也就是说——在不结束病毒进程的条件下,可以删净这个后门添加的注册表项(图2)。
删除那些注册表项后,重启系统,直接删除%system%下的病毒文件Netlib.exe即可(图3)。

图1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-10 23:10:14
描述:



最后编辑2005-07-11 09:52:40
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-10 23:11 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-10 23:11:40
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-10 23:12 | 只看楼主 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-10 23:12:29
描述:
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-10 23:13 | 短消息 资料
字号: 4楼

值得关注.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-10 23:13 | 只看楼主 短消息 资料
字号: 5楼

杀毒后,运行WINDOWS UPATE,去微软打补丁。
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-07-10 23:23 | 短消息 资料
字号: 6楼

现在Netlib.exe的有变化吗?我在Sophos上看的可能不止这些:
http://www.sophos.com/virusinfo/analyses/trojcratera.html

有agt0c1a.dll
agt0c1b.dll
agt0c1c.dll
c_951.nls
c_952.nls
clearlogs.exe
crc.exe
fport.exe
instsrv.exe
msdxm32.ocx
msidtc.dll
msiloader.dll
netlib.exe
netlib.ini
netlib.reg
regini.exe
service.exe
start.cmd
这么些呢
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-10 23:36 | 只看楼主 短消息 资料
字号: 7楼

引用:
【天天泡泡的贴子】现在Netlib.exe的有变化吗?我在Sophos上看的可能不止这些:


有agt0c1a.dll
agt0c1b.dll
agt0c1c.dll
c_951.nls
c_952.nls
clearlogs.exe
crc.exe
fport.exe
instsrv.exe
msdxm32.ocx
msidtc.dll
msiloader.dll
netlib.exe
netlib.ini
netlib.reg
regini.exe
service.exe
start.cmd
这么些呢
...........................


http://forum.ikaka.com/topic.asp?board=28&artid=6733470
我拿到的是这个帖子1楼的样本。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-07-11 08:45 | 只看楼主 短消息 资料
字号: 8楼

【回复“天天泡泡”的帖子】
也许是因为我不是自然感染的,系统中并未出现C:\<Windows folder>\system32\tcp%ip.[00021401-0000-0000-c000-000000000046] 文件夹,因而,系统中也就没有哪一串病毒文件。
gototop
 
一等小白
头像
拙长孩提狮
  • 帖子:95
  • 注册: 2005-02-04
  • 来自:
发表于: 2005-07-11 09:52 | 短消息 资料
字号: 9楼

谢谢斑竹下面正有个人叫家里中毒了~~呵呵如果可以话我想问个问题我家病毒文件自己影身了怎么看到影藏的文件夹谢谢老斑
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT