12   1  /  2  页   跳转

又见byshell

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 21:58 | 只看楼主 短消息 资料
字号: 1楼

又见byshell

记得以前写过一个帖子,概要叙述了一下“狡猾的后门byshell063”。
今天,又见到了这个后门的新版。

图1:中招后的症状————开机,未打开IE浏览器,即可见iexplore.exe进程。

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:387
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 21:58:32
描述:
预览信息:EXIF信息



最后编辑2008-02-28 14:28:22
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 21:59 | 只看楼主 短消息 资料
字号: 2楼

图2:病毒文件

附件附件:

下载次数:371
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 21:59:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 21:59 | 只看楼主 短消息 资料
字号: 3楼

图3:病毒文件

附件附件:

下载次数:383
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 21:59:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 22:00 | 只看楼主 短消息 资料
字号: 4楼

图4:病毒文件

附件附件:

下载次数:403
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 22:00:03
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 22:00 | 只看楼主 短消息 资料
字号: 5楼

图5:病毒加载项

附件附件:

下载次数:465
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 22:00:34
描述:
预览信息:EXIF信息
gototop
 
侠者秋水
头像
快乐黄口狮
  • 帖子:205
  • 注册: 2007-06-14
  • 来自:
发表于: 2008-02-11 22:00 | 短消息 资料
字号: 6楼

咋整?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 22:02 | 只看楼主 短消息 资料
字号: 7楼

图6:
如果将瑞星的开机杀毒设置成这样并执行开机杀毒,瑞星20.30.60可以干掉病毒文件steelKernel32.exe。
进入系统后,手动删除其余的病毒文件及病毒加载项即可。

附件附件:

下载次数:366
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 22:02:39
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 22:03 | 只看楼主 短消息 资料
字号: 8楼

删除的病毒文件

附件附件:

下载次数:370
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-11 22:03:55
描述:
预览信息:EXIF信息
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-02-11 22:18 | 短消息 资料
字号: 9楼

又记俩病毒文件名
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-11 22:22 | 只看楼主 短消息 资料
字号: 10楼

引用:
【天月来了的贴子】又记俩病毒文件名
………………

记病毒文件名?对于这类病毒来说————没用。
配置服务端时,病毒文件名可以随便取。这组steelKernel32名字是配置时默认的。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT