1   1  /  1  页   跳转

后门Iexplores.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-04-20 17:57 | 只看楼主 短消息 资料
字号: 1楼

后门Iexplores.exe

后门Iexplores.exe(Backdoor.Win32.Tompai.b)

在专用图象工作站中清理垃圾时发现的。那个工作站根本不在网上。估计是通过U盘或软盘染上的。

拿到我的本本上看了一下。Iexplores.exe运行后:

一、添加注册表项:
1、在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
添加:Ntcheck,指向:c:\windows\mapserver.exe
2、在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce分支
添加:Cmpnt,指向c:\windows\system\mainsv.exe
3、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices分支
添加:Shell,指向c:\windows\system\mainsv.exe。
4、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支
添加:Cmpnt,指向C:\windows\system\loadms.exe。
二、释放后门文件:
C:\windows\system\loadms.exe
C:\windows\system\mainsv.exe
C:\windows\system\loadmsnt.exe
C:\windows\mapserver.exe


最后编辑2006-04-20 19:26:56
分享到:
gototop
 
yanmings
头像
锋芒艾服狮
  • 帖子:1698
  • 注册: 2005-01-10
  • 来自:
发表于: 2006-04-20 18:30 | 短消息 资料
字号: 2楼

这些后门文件用HIJACKTHIS能扫到吗?
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-04-20 19:09 | 短消息 资料
字号: 3楼

好像没有服务
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-20 19:26 | 短消息 资料
字号: 4楼

添加的启动项,HijackThis不知能不能扫得出来。不过如果这个后门没有隐藏相关注册表项的能力的话,用防火墙的启动选项都能看得出来。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT