致：“充电器”——木马ugyieki.exe的查杀

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致：“充电器”——木马ugyieki.exe的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-24 21:40 \| 只看楼主短消息资料字号：小中大 1楼致：“充电器”——木马ugyieki.exe的查杀这是一个简单而刁钻的木马。特点如下： 1、每次感染系统生成的病毒文件名均不同（随机），我用你给的样本ugyieki.exe感染系统后，在%system%文件夹中生成的病毒文件是bnrnss.exe。 2、病毒插入系统当前运行的每个进程（如：explorer.exe等），并改写该进程的内存内容，以实现下次开机自动加载。 3、不修改注册表。杀毒：用IceSword，先禁止进程创建；然后结束一切可以结束的进程。然后，删除病毒文件bnrnss.exe。一次删除不掉。需要反复删。删到最后，系统突然重启（病毒在内存中的东东全部删净）。重启后，直接删除%system%文件夹中的bnrnss.exe即可。附：ugyieki.exe作案记录 Injecting code into other processes Object:CreateRemoteThread Create file Object:C:\WINDOWS\system32\bnrnss.exe Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:WriteProcessMemory Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:WriteProcessMemory 2005-08-24 23:24:02
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

岳海旭叱咤花甲狮帖子:3825 注册: 2004-07-15 来自:树洞.	发表于： 2005-08-24 22:03 \| 短消息资料字号：小中大 2楼收到。研读中。
岳海旭叱咤花甲狮帖子:3825 注册: 2004-07-15 来自:树洞.

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-08-24 22:11 \| 短消息资料字号：小中大 3楼【回复“baohe”的帖子】呵呵,就知道baohe版主提样去了。这木马提了点难度。是反复添加吗？
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:

充电器初生襁褓狮帖子:28 注册: 2005-08-24 来自:	发表于： 2005-08-24 22:48 \| 短消息资料字号：小中大 4楼感谢baohe版主给我的经典答复，我会按照版主的做法进行操作的！不过有一点需要更正，我在进行了反复测试以后发现该木马还有另外一个问题，在楼主所说的3、不修改注册表。这个问题上有点不对，该病毒在windows/system32目录中会建立一个文件，该文件是随机6个英文字母组成的xxxxxx.exe文件，并且会在注册表中添加一项：就是在run的启动项中，添加一个子健，子健的名称为6-7位的字母（随机），而健值数据就是c:\windows\system32\xxxxxx.exe r这样一个内容，不知道这个问题，楼主又没有发现！注：该注册表项的修改如果用删除的方法，在瑞星2005工作的情况下删除的时候，瑞星有提示询问是否确认注册表的修改，但是如果仔细观察，这是显示的并不是我们刚才对注册表进行删除的那项，而是病毒又自动在注册表中随机生成了一个新的子健。此时极容易让人点同意修改，但是，你点击拒绝修改的话，仍然不起作用，注册表仍然会自动在run项中添加新的一个随机的子健，该问题提请大家讨论注意！（关于该病毒的消灭情况没，我会明天继续在这里向大家汇报！）
充电器初生襁褓狮帖子:28 注册: 2005-08-24 来自:

充电器初生襁褓狮帖子:28 注册: 2005-08-24 来自:	发表于： 2005-08-24 23:18 \| 短消息资料字号：小中大 5楼明天再去女友家帮她解决这个病毒！最新的消息我会和大家讨论的！顺便问一下，这个木马病毒的主要作用是干什么的？盗取密码？还是什么？反正瑞星网站上面没有具体说明，只说这是个windows下的木马程序！（女友不断追问，而且我也想弄个明白，我觉得只有把问题搞懂才能不断提高。）谢谢！
充电器初生襁褓狮帖子:28 注册: 2005-08-24 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-08-24 23:24 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【充电器的贴子】明天再去女友家帮她解决这个病毒！最新的消息我会和大家讨论的！顺便问一下，这个木马病毒的主要作用是干什么的？盗取密码？还是什么？反正瑞星网站上面没有具体说明，只说这是个windows下的木马程序！（女友不断追问，而且我也想弄个明白，我觉得只有把问题搞懂才能不断提高。）谢谢！

...........................

卡巴斯基报：Trojan.Win32.Agent.qp。

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-08-24 21:40 \| 只看楼主短消息资料字号：小中大 1楼致：“充电器”——木马ugyieki.exe的查杀这是一个简单而刁钻的木马。特点如下： 1、每次感染系统生成的病毒文件名均不同（随机），我用你给的样本ugyieki.exe感染系统后，在%system%文件夹中生成的病毒文件是bnrnss.exe。 2、病毒插入系统当前运行的每个进程（如：explorer.exe等），并改写该进程的内存内容，以实现下次开机自动加载。 3、不修改注册表。杀毒：用IceSword，先禁止进程创建；然后结束一切可以结束的进程。然后，删除病毒文件bnrnss.exe。一次删除不掉。需要反复删。删到最后，系统突然重启（病毒在内存中的东东全部删净）。重启后，直接删除%system%文件夹中的bnrnss.exe即可。附：ugyieki.exe作案记录 Injecting code into other processes Object:CreateRemoteThread Create file Object:C:\WINDOWS\system32\bnrnss.exe Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:WriteProcessMemory Injecting code into other processes Object:CreateRemoteThread Injecting code into other processes Object:WriteProcessMemory 2005-08-24 23:24:02
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致：“充电器”——木马ugyieki.exe的查杀

致：“充电器”——木马ugyieki.exe的查杀

致：“充电器”——木马ugyieki.exe的查杀

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛致：“充电器”——木马ugyieki.exe的查杀