致：“孤独更可靠”——关于你发来的ghost.pif

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致：“孤独更可靠”——关于你发来的ghost.pif

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

致：“孤独更可靠”——关于你发来的ghost.pif

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-29 14:57 \| 只看楼主短消息资料字号：小中大 1楼致：“孤独更可靠”——关于你发来的ghost.pif 1、运行后，SRENG日志可见下列异常： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation] ================================== 正在运行的进程 [PID: 1264][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Internet Explorer\romdrivers.dll] [Microsoft Corporation, 1. 0. 0. 1] 2、病毒文件可以删除（图1）。附件: 文件名:1558472007529144701.jpg 下载次数:209 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-29 14:57:07 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-05-29 18:07:19.153000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-29 14:58 \| 只看楼主短消息资料字号：小中大 2楼 3、Track'nReverse检测到的病毒文件释放/删除（图2）附件: 文件名:1558472007529144802.jpg 下载次数:180 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-29 14:58:11 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-29 14:58 \| 只看楼主短消息资料字号：小中大 3楼 4、Track'nReverse检测到的注册表改动（图3） 5、Tiny未监测到ghost.pif访问网络/下载木马。 6、SSM以及Tiny的amon也没提示有其它文件运行。 7、点击Tralogan的Revert Changes，搞掂。附件: 文件名:1558472007529144832.jpg 下载次数:169 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-29 14:58:44 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-29 15:01 \| 只看楼主短消息资料字号：小中大 4楼 8、这个病毒有意思的地方是：通过正在运行的应用程序进程反复删除shellexecutehooks下的键值附件: 文件名:1558472007529145102.jpg 下载次数:187 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-29 15:01:09 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-29 15:26 \| 短消息资料字号：小中大 5楼这多工具监着，呵呵！！！！！
天月来了版主帖子:76904 注册: 2007-02-06 来自:

锋芒艾服狮

帖子:1788
注册: 2007-01-27
来自:

发表于： 2007-05-29 15:51 | 短消息资料

字号：小中大 6楼

引用:

【baohe的贴子】4、Track''nReverse检测到的注册表改动（图3）

5、Tiny未监测到ghost.pif访问网络/下载木马。

6、SSM以及Tiny的amon也没提示有其它文件运行。

7、点击Tralogan的Revert Changes，搞掂。
………………

学习了````

我要的就是第5点```吓了一跳```好像是绕过SSM的ND````

不过他确实那样做了``从外面下载了一大推木马``

我测试时候SSM没有反映``

哎,昨天写好的分析不知道丢哪里去了``555`~

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2007-05-29 15:56 \| 短消息资料字号：小中大 7楼猫叔之前把标题打成致：“孤独豪侠了。。。。呵呵。。
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-29 16:12 \| 短消息资料字号：小中大 8楼呵呵！！！！都有趣！！！好好玩。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-05-29 17:59 \| 短消息资料字号：小中大 9楼 PIF文件可以直接运行？再问下猫叔，TINY的那个tracklog 为什么我每次用里面都是空的呢。。。。郁闷。。。
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-29 18:07 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【loveperday的贴子】PIF文件可以直接运行？
再问下猫叔，TINY的那个tracklog 为什么我每次用里面都是空的呢。。。。郁闷。。。
………………

1、双击那个ghost.pif，可以运行。没问题。
2、Tiny的设置问题。也可能是病毒运行后，你没有正确回应Tiny的询问对话框（应选择Track'nReverse）。

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-29 14:57 \| 只看楼主短消息资料字号：小中大 1楼致：“孤独更可靠”——关于你发来的ghost.pif 1、运行后，SRENG日志可见下列异常： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation] ================================== 正在运行的进程 [PID: 1264][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Internet Explorer\romdrivers.dll] [Microsoft Corporation, 1. 0. 0. 1] 2、病毒文件可以删除（图1）。附件: 文件名:1558472007529144701.jpg 下载次数:209 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-29 14:57:07 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-05-29 18:07:19.153000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致：“孤独更可靠”——关于你发来的ghost.pif

致：“孤独更可靠”——关于你发来的ghost.pif

致：“孤独更可靠”——关于你发来的ghost.pif

附件:

文件名:1558472007529144701.jpg 下载次数:209 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(118976); 上传时间:2007-5-29 14:57:07 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472007529144802.jpg 下载次数:180 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(101138); 上传时间:2007-5-29 14:58:11 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472007529144832.jpg 下载次数:169 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(123498); 上传时间:2007-5-29 14:58:44 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472007529145102.jpg 下载次数:187 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(413568); 上传时间:2007-5-29 15:01:09 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛致：“孤独更可靠”——关于你发来的ghost.pif

文件名:1558472007529144701.jpg

下载次数:209

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-29 14:57:07

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472007529144802.jpg

下载次数:180

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-29 14:58:11

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472007529144832.jpg

下载次数:169

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-29 14:58:44

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472007529145102.jpg

下载次数:187

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-29 15:01:09

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01