也谈"飘雪"----主页被改为piaoxue.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛也谈"飘雪"----主页被改为piaoxue.com

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 01:27 \| 只看楼主短消息资料字号：小中大 1楼也谈"飘雪"----主页被改为piaoxue.com 1，360卫士论坛得到，然后自己分离的样本。 2，TINY自己定义规则进行监控 3，启动木马程序后只建立一个驱动程序，注册表项目竟然有30多项。 4，不能在虚拟机中运行 5，注册表项目和文件详附图 6，如何查找木马驱动： a--用procexp；在system进程（PID=4); b--右击该进程,选择"属性"; c--选择线程,将滚动条拖到末端,即可发现木马驱动(2个线程) 7，解决办法：procexp找到驱动程序句柄；close 它；删除驱动文件即可；更详细的介绍,请见: http://bbs.360safe.com/viewthread.php?tid=14140&extra=page%3D1 要病毒样本的请留邮件。附件: 文件名:5299332006102111847.PNG 下载次数:218 文件类型:application/octet-stream 文件大小: 上传时间:2006-10-21 1:27:09 描述: 2006-10-23 00:07:48.733000000
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	分享到：

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 01:28 \| 只看楼主短消息资料字号：小中大 2楼补图附件: 文件名:5299332006102112121.PNG 下载次数:229 文件类型:application/octet-stream 文件大小: 上传时间:2006-10-21 1:28:40 描述:
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 01:31 \| 只看楼主短消息资料字号：小中大 3楼还有3张图,难得补了
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-10-21 02:05 \| 短消息资料字号：小中大 4楼样本请用WINRAR压缩，加密码virus，发到我的邮箱（见签名），谢谢。现在的流氓是越来越隐蔽了，之前因为一直没拿到样本，所以也没办法分析。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

初生襁褓狮

发表于： 2006-10-21 02:20 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【轩辕小聪的贴子】样本请用WINRAR压缩，加密码virus，发到我的邮箱（见签名），谢谢。
现在的流氓是越来越隐蔽了，之前因为一直没拿到样本，所以也没办法分析。
………………

已发。

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-21 07:00 \| 短消息资料字号：小中大 6楼 xue_mai_qi@163.com 给我一个~谢~(压缩后加上密码:同上~)
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-21 07:22 \| 短消息资料字号：小中大 7楼另,楼主给出的链接~~ 给你顶一个~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

初生襁褓狮

发表于： 2006-10-21 07:43 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【影子110的贴子】xue_mai_qi@163.com

给我一个~谢~(压缩后加上密码:同上~)
………………

已发

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 07:52 \| 只看楼主短消息资料字号：小中大 9楼链接的文章已经很清楚了这个木马只有一个驱动程序文件最好的检测（发现木马文件）的方法应该是：使用Autoruns，检测没有数字签名的非微软驱动程序， --------立即可以找到它！
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 12:11 \| 只看楼主短消息资料字号：小中大 10楼再次试验了下，可以用Icesword 1.2版强制删除功能，删除木马驱动，这个应该是最直接的解决办法。这个木马最难得应该是找到它的驱动文件。
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:

1 / 2 页

跳转页

xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	发表于： 2006-10-21 01:27 \| 只看楼主短消息资料字号：小中大 1楼也谈"飘雪"----主页被改为piaoxue.com 1，360卫士论坛得到，然后自己分离的样本。 2，TINY自己定义规则进行监控 3，启动木马程序后只建立一个驱动程序，注册表项目竟然有30多项。 4，不能在虚拟机中运行 5，注册表项目和文件详附图 6，如何查找木马驱动： a--用procexp；在system进程（PID=4); b--右击该进程,选择"属性"; c--选择线程,将滚动条拖到末端,即可发现木马驱动(2个线程) 7，解决办法：procexp找到驱动程序句柄；close 它；删除驱动文件即可；更详细的介绍,请见: http://bbs.360safe.com/viewthread.php?tid=14140&extra=page%3D1 要病毒样本的请留邮件。附件: 文件名:5299332006102111847.PNG 下载次数:218 文件类型:application/octet-stream 文件大小: 上传时间:2006-10-21 1:27:09 描述: 2006-10-23 00:07:48.733000000
xinyuzh 初生襁褓狮帖子:38 注册: 2005-06-29 来自:	分享到：