1   1  /  1  页   跳转

致"baohe"版主------一个疑惑的木马

收藏
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-11 14:18 | 只看楼主 短消息 资料
字号: 1楼

致"baohe"版主------一个疑惑的木马

rt

附件已删除...
最后编辑2005-08-11 17:47:19
分享到:
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-11 14:33 | 只看楼主 短消息 资料
字号: 2楼

up
gototop
 
爪子和牙
头像
初生襁褓狮
  • 帖子:430
  • 注册: 2005-08-06
  • 来自:
发表于: 2005-08-11 14:35 | 短消息 资料
字号: 3楼

up
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-11 14:49 | 短消息 资料
字号: 4楼

【回复“花落花又开”的帖子】
一、样本运行后在C:\WINDOWS\system32\创建javascript.exe(结束进程后可以直接删除)。
二、进程列表中出现javascript.exe、conime.exe、cmd.exe三个进程(均可结束)。
三、注册表改动:

1、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入:"Cache"="C:\\Documents and Settings\\用户名\\Local Settings\\Temporary Internet Files"
2、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入:"ProxyByPass"=dword:00000001
3、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入:"IntranetName"=dword:00000001
4、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
写入:"UNCAsIntranet"=dword:00000001
5、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入:"Cookies"="C:\\Documents and Settings\\用户名\\Cookies"
6、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
写入:"History"="C:\\Documents and Settings\\用户名\\Local Settings\\History"
7、创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript
添加:@="Service"
8、创建:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript
添加:@="Service"
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-11 14:52 | 只看楼主 短消息 资料
字号: 5楼

疑惑的是javascript.exe该进程无法结束.必须停止其服务后方可结束.

用SSM结束后,进程又启动;周而复始.似乎在安全模式下也加载.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-11 14:56 | 短消息 资料
字号: 6楼

引用:
【花落花又开的贴子】疑惑的是javascript.exe该进程无法结束.用SSM结束后,进程又启动;周而复始.似乎在安全模式下也加载.


...........................

我用样本感染系统后,用ICESWORD,可以结束木马进程。文件也可以删除(见图)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-11 14:56:24
描述:
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-11 15:03 | 只看楼主 短消息 资料
字号: 7楼

也许是您机器上那"TPF2005"规则限制了...
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-11 15:23 | 短消息 资料
字号: 8楼

引用:
【花落花又开的贴子】也许是您机器上那"TPF2005"规则限制了...
...........................

没那回事。
第二次用你的那样本感染系统,注册表改动又有所不同(见附图)。
这回,咱让它一把:什么也不动,直接重启系统,看看它能怎么样!
重启后,与你所说的类似——直接关闭它创建的系统服务,关闭不了。因为它的进程还在运行。
换个思路:在IceSword的设置中,勾选“禁止进/线程创建”、“禁止协件功能”。然后,结束木马进程,再关闭其服务、删除其文件——OK!最后,把它添加的注册表项删除,就完了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-11 15:23:11
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-11 16:36 | 短消息 资料
字号: 9楼

【回复“花落花又开”的帖子】
“茶香蜜糖”又提供了一个类似的样本。查杀方法与你这个样本基本相同。见:http://forum.ikaka.com/topic.asp?board=28&artid=6978750
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-11 17:47 | 只看楼主 短消息 资料
字号: 10楼

【回复“baohe”的帖子】
收到.

我思路是先把病毒的服务关闭了.再结束进程.
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下javascript键删了.
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT