瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 请各位高手看看RootKit.AntiHide.a是什么程序

1   1  /  1  页   跳转

请各位高手看看RootKit.AntiHide.a是什么程序

收藏
狂鸽乱舞
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2006-05-31
  • 来自:
发表于: 2006-05-31 18:16 | 只看楼主 短消息 资料
字号: 1楼

请各位高手看看RootKit.AntiHide.a是什么程序

今天监控总是报说有个RootKit.AntiHide.a
病毒但是瑞星就是删除不了,请高手们帮帮忙
这是监控记录
病毒名称    处理结果    发现日期    扫描方式    路径    文件
RootKit.AntiHide.a    删除成功    2006-05-26 07:31    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-26 07:34    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-28 15:24    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-28 15:54    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-28 22:33    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-28 22:33    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-28 23:44    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-29 17:07    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-29 17:09    文件监控    C:\WINDOWS\system32    vook.sys
未知病毒    删除成功    2006-05-29 17:23    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mum1    mum1.exe
RootKit.AntiHide.a    忽略    2006-05-29 18:14    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    删除成功    2006-05-31 08:00    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    删除成功    2006-05-31 14:34    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-31 14:35    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-31 14:39    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-31 17:44    文件监控    C:\WINDOWS\system32    vook.sys
RootKit.AntiHide.a    忽略    2006-05-31 17:44    文件监控    C:\WINDOWS\system32    vook.sys
最后编辑2006-06-29 00:30:37
分享到:
gototop
 
雪点
头像
初生襁褓狮
  • 帖子:414
  • 注册: 2004-10-07
  • 来自:
发表于: 2006-06-29 00:35 | 短消息 资料
字号: 2楼

昨天下午规则组通过网络监控发现一异常木马病毒。
状态:从目前的跟踪情况来看,主要是以压缩包的形式与LHX武装直升机单机版游戏捆绑,并借助这款游戏的外壳镶入核心安装程序。
杀软监控情况:在解压后瑞星监控能及时发现(见附件1),但在“杀毒”后,提示重启系统后删除,可重新启动系统后,该木马依然存在;金山、KV和卡巴斯基以及诺顿等杀软和微软的间谍查杀程序还不能发现。
特征:在非WIN系统下,该木马病毒不能运行,但在WIN系统下直接进入DOS环境运行或是表现为WIN系统下的后台运行。运行后通过TCP1709端口向数个服务器传送本地各类密码等数据,并同时不间断地在后台下载灰鸽子等木马(见附件4)。
位置:驱动盘\WINDOWS\system32\vook.sys,但在WIN下或安全模式以及DOS下查找不出被控端主文件vook.sys ;在注册表中生成PendingFileRenameOperations,键值删除后,重新启动系统又会重新生成(见附件3);在系统启动项和进程表中不能发现相关的启动项目(见附件2)。
分析:初步分析认为这是个HSN混合型的、无(低层隐蔽)进程式木马病毒,核心安装文件带有智能自毁程序,一旦分离或反汇编,核心文件将自动摧毁(无任何代码显示),用常规的办法无法提取核心程序及其特征代码。
建议:用户注意上网,对一些带“色”广告的网站要特别留心,更不要随意点击小广告,对下载的游戏在解压前和安装前一定要先查杀,在安装过程中如有异常(如出现类似DOS的窗口)必须马上终止安装。
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-06-29 00:38 | 短消息 资料
字号: 3楼

请下载 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完,分次粘完,请不要修改。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT