123   1  /  3  页   跳转

诡异的Rootkit.Antihide.b

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:42 | 只看楼主 短消息 资料
字号: 1楼

诡异的Rootkit.Antihide.b

svch0st.exe-一个木马。瑞星报Rootkit.Antihide.b。卡巴斯基报:Trojan-PWS.Win32.WOW.bp。
此马在我的XPSP2系统中运行后,见到下述诡异现象:
1、在注册表的HKLM\System\CurrentControlSet\Services分支添加squell(图1)。
2、在注册表的HKLM\System\CurrentControlSet\Services分支添加NPF(图2)。
3、先在C:\windows\system32\下释放驱动vook.sys,待niq4fvl.dll释放到C:\windows\下且插入所有当前进程后,vook.sys便自裁了!重启系统后,原来添加到HKLM\System\CurrentControlSet\Services分支中的NPF也自裁了;但是,HKLM\System\CurrentControlSet\Services分支中的squell依然存在。(图3)
4、重启后,C:\windows\下的niq4fvl.dll可直接删除;HKLM\System\CurrentControlSet\Services分支中的squell也可删除。
谁能解释一下这种诡异的问题。请教了。
图1

附件附件:

下载次数:206
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:42:48
描述:
预览信息:EXIF信息



最后编辑2006-06-10 18:19:28
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:43 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:184
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:43:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:43 | 只看楼主 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:187
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:43:42
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-06-09 20:58 | 短消息 资料
字号: 4楼

??自杀的木马??
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-06-09 21:02 | 短消息 资料
字号: 5楼

版主说请教了,意思是这个病毒现在无法解决?
这可难过了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:04 | 只看楼主 短消息 资料
字号: 6楼

引用:
【我无邪的贴子】版主说请教了,意思是这个病毒现在无法解决?
这可难过了。
...........................

木马已经宰了。主要是那个C:\windows\下的niq4fvl.dll,插入当前运行的所有进程。你运行一个,它就插一个。但重启系统后,可以删除这个dll。
但无法解释观察到的那些现象。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-06-09 21:12 | 短消息 资料
字号: 7楼

没有启动项??
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-06-09 21:13 | 短消息 资料
字号: 8楼

把自已的驱动和一个服务也删除了,自己不也启动不了了??
是不是想学byshell,只不过没有做好??
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:14 | 只看楼主 短消息 资料
字号: 9楼

引用:
【闪电风暴的贴子】没有启动项??
...........................

启动项见图1(vook.sys作为系统服务启动加载)。
但是vook.sys自裁了,这个系统服务项也就是摆设。
所以,重启系统后,那个dll就被轻易的宰掉了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:21 | 只看楼主 短消息 资料
字号: 10楼

当前用户的临时文件夹Temp也是空的(不像中招者的Temp中有隐藏的svch0st.exe)

附件附件:

下载次数:177
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 21:21:25
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT