1   1  /  1  页   跳转

【求助】谁能帮帮我?

【求助】谁能帮帮我?

我下载了好几个广外男生,怎么都不能用啊?一打开就提示“无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。”是系统的问题还是下载的软件是坏的?
多谢各位好汉帮助!
最后编辑2006-07-15 11:02:40
分享到:
gototop
 

你杀毒软件开了吗?~
关了在试试~
gototop
 

引用:
【xqe的贴子】你杀毒软件开了吗?~
关了在试试~
...........................


LZ下载的是木马!!!

广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。
gototop
 

广外男生测试报告
www.landun.org2003-4-3中国蓝盾联盟


今天下载了目前刚出炉不久的木马:广外男生
由于该木马与其他木马不大一样,所以我对它进行了测试。

该木马我用瑞星15。29仍然无法查杀。已经上报。
测试报告:[测试环境:win2000SP3]

该木马和前段时间的QQ木马不同,不是通过关联来启动该木马,修改的注册表项目并不是很多,它采用了线程插入技术,正如作者在软件中的说明中指出:服务端运行时没有进程!所有网络操作均插入到其他应用程序的进程中完成。也就是说,即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截,使对方的防火墙形同虚设.

该木马的功能很强大,不过客户端功能我没测试过。

对木马的配置我均采用默认配置,木马主程序为gwboy.exe,产生dll为gwboydll.dll

运行木马后,在C盘system32下产生gwboy.exe和gwboydll.dll两文件,其中gwboy.exe是连接RUN中复活启动项目[其实这一项目并没什么多大用处,你删除这个是删除不了的,因为主要启动还是靠gwboydll.dll,只要该gwboydll.dll没有删除,启动项目和gwboy.exe是可以随时复活的]

gwboydll.dll是实现线程插入技术的主文件。当木马激活后,注入explorer.exe进程,可以通过优化大师等工具查看到explorer.exe下的该dll插入线程:

c:\winnt\system32\gwboydll.dll

大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中[其实是随机插入的];因此木马激活后是无法终止该进程的。

运行该木马后,木马在注册表添加项目如下所示:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment"[进程插入的启动][位置随机产生]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gwboy.exe
String: "gwboy.exe"[启动复活][键值随机产生]

(请注意,这些键值根据客户端的配置而不同,我这里测试采用的是默认的配置)大家可以根据其大小来判断,应该在116K左右。

清除方法如下:[下面键值只是根据我机器上测试配置而提供的清除方法,但清除思路是一样的]

1:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[删除此项目]{5EAE4AC0-146E-11D2-A96E-000000000009}\InprocServer32]
@="gwboydll.dll"
"ThreadingModel"="Apartment" [木马复活的项目]

2:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[删除]gwboy.exe
String: "gwboy.exe"

3:根据RUN项目下的gwboy.exe删除系统目录system32下相应的gwboy.exe[根据配置可能文件名不同,大小约为116K]

4:在注册表下寻找所有gwboydll.dll的键值,将其删除。

5:记住1中的DLL文件名,测试时为gwboydll.dll。[寻找该文件仍然可以根据大小来在system32下寻找,大小大约为116K]

6:进入纯DOS下,执行del winnt\system32\gwboydll.dll即删除该dll文件。

至此删除完毕[建议大家不要在WIN下删除gwboydll.dll,因为该木马采用“线程插入”技术,一旦系统启动并且随机启动有exe程序有一段时间或者注册表尚有复活启动没有删除,便可以复活木马。复活能力相当强并且很隐蔽]

大家不要拘于上述的方法,因为键值是随机的,大家可以根据文件大小来进行判断,可以通过注册表中的启动项目或者进程中的可疑DLL来判断。

上述中若有错误还请大家不吝赐教。

gototop
 

好渊博!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT