瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Keygen.exe——一个比较难对付的DLL木马

1234567   1  /  7  页   跳转

Keygen.exe——一个比较难对付的DLL木马

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-30 22:51 | 只看楼主 短消息 资料
字号: 1楼

Keygen.exe——一个比较难对付的DLL木马

样本来源:http://keygen.name/download/delta.force.xtreme_keygen.exe

特点:
1、Keygen.exe运行后,在system32文件夹中释放一个随机文件名的DLL(本次感染释放的是:rqrsppn.dll)。随后,将Keygen.exe自身删除。
2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃,重启。
3、此DLL木马有注册表守护功能。本次感染,木马添加的注册表项如下:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{35845E32-35D9-46BB-9240-258AB96391C5}"=""

HKEY_CLASSES_ROOT\CLSID\
{35845E32-35D9-46BB-9240-258AB96391C5}

4、删除上述注册表项后,木马立即原样写入。用SSM禁止写入注册表——无效。
5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程:

1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支,找到木马写入的内容(本例为:{35845E32-35D9-46BB-9240-258AB96391C5})。
展开HKEY_CLASSES_ROOT\CLSID\,找到木马写入的CLSID(本例为{35845E32-35D9-46BB-9240-258AB96391C5}),并记下其指向的文件名及其路径。
2、用IceSword禁止进程创建。
3、删除木马添加的注册表项。
4、删除木马文件(本例为C:\windows\system32\rqrsppn.dll)。
5、待到硬盘指示灯不亮了,关闭计算机电源开关。搞掂。
最后编辑2007-04-02 11:51:11
分享到:
gototop
 
过把瘾就死
头像
强壮不惑狮
  • 帖子:823
  • 注册: 2004-11-29
  • 来自:
发表于: 2007-03-30 23:07 | 短消息 资料
字号: 2楼

一直都很爱baohe的帖子,无论自己需要不需要。因为他每个帖子都是在针对问题,解决问题。
相对比起来那些只会拿工具分析病毒特征,然后到处危言耸听的小P孩子版主实用的多的多。
其实这里无非是防病毒,杀病毒。做不到你就帮求助者把损失降到最低。卡卡论坛不是百度帖吧,这里人起码辨别能力还是有的。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-03-30 23:19 | 短消息 资料
字号: 3楼

断电大法都用上了
gototop
 
1号新生
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2007-03-25
  • 来自:
发表于: 2007-03-30 23:37 | 短消息 资料
字号: 4楼

第五步很经典阿
gototop
 
lishengyu
头像
快乐黄口狮
  • 帖子:154
  • 注册: 2004-07-17
  • 来自:
发表于: 2007-03-30 23:50 | 短消息 资料
字号: 5楼

顶``
gototop
 
85991168
头像
强壮不惑狮
  • 帖子:738
  • 注册: 2007-01-03
  • 来自:吉林
发表于: 2007-03-31 00:07 | 短消息 资料
字号: 6楼

老大 我打开了 注册表那些路径
没找到那个 是不是就没有???

附件附件:

下载次数:546
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-31 0:07:12
描述:
gototop
 
寒冷的夏天
头像
初生襁褓狮
  • 帖子:49
  • 注册: 2007-01-07
  • 来自:
发表于: 2007-03-31 01:43 | 短消息 资料
字号: 7楼

好帖子  学习中
gototop
 
新蓝9999
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-03-31
  • 来自:
发表于: 2007-03-31 03:06 | 短消息 资料
字号: 8楼

我去年中了一个同名的病毒,从U盘上带回来的。当时不能清除,只能删除,被感染了三百多个系统的支持文件,虽然系统还能运行,但是总觉得不如从前,而后又重新装了一遍系统。
哎,害得我损失了好些“宝贝”。.............................以后大家可别忘备份啊。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-03-31 05:01 | 短消息 资料
字号: 9楼

baohe可以试试是否能用killbox的delete on reboot功能先删除文件,之后重启后再删除注册表。
引用:
【过把瘾就死的贴子】一直都很爱baohe的帖子,无论自己需要不需要。因为他每个帖子都是在针对问题,解决问题。
相对比起来那些只会拿工具分析病毒特征,然后到处危言耸听的小P孩子版主实用的多的多。
其实这里无非是防病毒,杀病毒。做不到你就帮求助者把损失降到最低。卡卡论坛不是百度帖吧,这里人起码辨别能力还是有的。
………………

我不知道你的“小P孩子”指的是谁。但是不论你指的是谁,请你注意:
1.不要有年龄歧视(更何况如果小P孩子能做到的事你做不到,那么你这个所谓的“大人”是不是自己先得扪心自问一下呢)
2.不要有“含沙射影”的企图,更不要有挑拨版主之间关系的企图。每个人都有自己的特点,将不同的人拿来作比较,非要分出高下,是很不礼貌的(既然你很不喜欢“小P孩子”,那么希望你这个“大人”也能表现得更理智一点,更有胸襟一点)

baohe大叔50岁仍然活跃在反病毒论坛第一线,现实中身为医生与病魔争夺患者的生命,他研究的孔腺癌前哨淋巴结示踪法对孔腺癌的早期发现相当重要。
网络中身为反病毒论坛版主,他又为会员们的电脑安全而尽心尽力,其求实严谨的科学家的精神令我辈深深受教,他的和蔼可亲平易近人又令我辈如沐春风。在大叔丰富的人生阅历和平实坦荡的处世哲学面前,我们又何尝不都是“小P孩”。然而大叔对我们仍然是关怀和爱护的。从一步一步扶我们上路,到与我们并肩作战。直接的交流虽只有只言片语,彼此却早已心照。而在此之外,大叔的一篇篇文章便是我们成长的养料。我相信,所有其他版主对大叔的敬重与爱戴,也非一般会员所能体会。
大千世界,变化万端,美丽的东西,不应只有一种颜色。不同的思维模式,相异的表达方式,思想的交汇和碰撞,往往能产生意想不到的效果,开辟一片新的天地。
漫漫征途之上,总是会有睿智稳重的长者,也有青涩懵懂的少年,唯有互相搀扶与支撑,才能共同到达彼岸。

熬夜看帖,本已倦怠欲眠,无意间走入此帖,一语触动心弦,不禁感慨丛生,于是一吐为快。心地坦诚,并非恶意,若无意冒犯,敬请海涵。
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-03-31 06:35 | 短消息 资料
字号: 10楼

早上刚来就发现不和谐声音,现在牛人真是多。
无责任猜想:有人要被口水淹没了……
gototop
 
<<上一主题|下一主题>>
1234567   1  /  7  页   跳转
页面顶部
Powered by Discuz!NT