瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 RIS2010 最新病毒库依然不杀的一个木马下载器

1   1  /  1  页   跳转

[原创] RIS2010 最新病毒库依然不杀的一个木马下载器

RIS2010 最新病毒库依然不杀的一个木马下载器

昨天,麦青儿已经上报这个样本了。但RIS 22.37.01.04病毒库依然不报此毒。

文件名:flash_player.45174.exe;文件大小:88.5K。MD5值:FA5D34CD694E6AB5DDDD06928F9C83A2

中毒后,SRENG日志可见的异常内容如下:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]    <TOY5KNQ8OC><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe>  []
服务

[SSHNAS / SSHNAS][Stopped/Auto Start]  <C:\windows\system32\svchost.exe -k netsvcs-->C:\windows\system32\sshnas21.dll><N/A>

进程
[PID: 3720][C:\windows\msa.exe]  [N/A, ]
[PID: 2660][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe]  [N/A, ]

进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 3720, C:\WINDOWS\MSA.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2660, C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\GHL.EXE]

计划任务
[已启用] {66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe
[已启用] {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job        C:\windows\msa.exe


用IceSword的手杀流程:
1、禁止进程创建。
2、结束病毒进程:
C:\windows\msa.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Ghl.exe
3、删除病毒文件(见下图):


4、删除病毒添加的启动加载项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]    <TOY5KNQ8OC>


删除病毒服务:

SSHNAS


附上病毒样本备查(密码:123):


附件: virus.rar (2010-3-2 16:12:05, 53.14 K)
该附件被下载次数 351






用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-03-02 16:18:32
分享到:
gototop
 

回复:RIS2010 最新病毒库依然不杀的一个木马下载器

没有样本
gototop
 

回复:RIS2010 最新病毒库依然不杀的一个木马下载器

Trojan.DL.Win32.NoSorFo.cj
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT