瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 此毒好阴损!!!(最好高手来分析下此毒的动作)

1234567   1  /  7  页   跳转

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

此毒好阴损!!!(最好高手来分析下此毒的动作)

调用服务管理器(services进程) 在注册表中创建服务项目指向它释放的DLL文件  而且该DLL注入了多个系统进程瑞星都没反应    主要是注入svchost中然后挂钩子盗取资料(其它进程也注了例如explorer)  我木马编辑器还是编了防注入的都被它注进去了  老子无语了.........    各位来看看

附件: ms.rar (2009-2-4 12:48:56, 62.59 K)
该附件被下载次数 568



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
最后编辑SpeW 最后编辑于 2009-02-04 13:26:04
分享到:
gototop
 

回复: 此毒好阴损!!!

绝对的病毒 我测了半天的
gototop
 

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

杂子没人帮分析下    高手都哪去了?
gototop
 

回复:此毒好阴损!!!(最好高手来分析下此毒的动作)

的确是病毒,在c:/windows/system32中生成ykzkjy.dll和ykzkjy.key文件,并新增了系统副ovtjkk,瑞星不报,360有动作提示但无法删除,利用XDELLBOX也无法删除
gototop
 

回复:此毒好阴损!!!(最好高手来分析下此毒的动作)

等会附上本机运行前后的扫描日志
gototop
 

回复:此毒好阴损!!!(最好高手来分析下此毒的动作)

Backdoor.Win32.PcClient
后门病毒
gototop
 

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

那个DLL文件是随机名 不固定的 而且是调用services进程在注册表添加服务项的 一般人看了是系统进程很容易就放过的
gototop
 

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 13:49:00 发表
Backdoor.Win32.PcClient
后门病毒


能否说一下它有哪些动作  由于是调用services改的注册表 我编规则对它都没用  因为不是它添加的服务
gototop
 

回复:此毒好阴损!!!(最好高手来分析下此毒的动作)

要分析动作的话用HIPS一步一步放行就知道了
gototop
 

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

而且编辑器似乎不能监控创建注册表项 只能监控改动
gototop
 
1234567   1  /  7  页   跳转
页面顶部
Powered by Discuz!NT