瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 与蠕虫(worm.agent.ug)IFEO劫持的“拉锯战”

12   2  /  2  页   跳转

与蠕虫(worm.agent.ug)IFEO劫持的“拉锯战”

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-31 16:28 | 显示全部 短消息 资料
字号: 11楼

引用:
【三月花儿的贴子】
感谢斑竹,问题解决了。
请问一下,这种是一种什么样的病毒,一般通过什么方式传播的?
………………

据我所知,此毒可通过U盘、移动硬盘传播。中招后,还从网络上下载一堆其它病毒。
瑞星昨天的病毒库已经报这个蠕虫worm.agent.ug。这只是这类病毒的一个变种。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-31 16:38 | 显示全部 短消息 资料
字号: 12楼

引用:
【日不懂啊的贴子】

猫叔啊,你怎么加载你的冰刃启动项的啊,在注册表HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON      这里找不到USERINIT这个项

请问是怎么弄的啊?
………………

其实,可以用的启动方式多着呢。
用userinit启动只是其中一种(操作简便)。
具体操作:
1、

附件附件:

下载次数:139
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-31 16:38:49
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-31 16:39 | 显示全部 短消息 资料
字号: 13楼

2、

附件附件:

下载次数:152
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-31 16:39:26
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-31 16:39 | 显示全部 短消息 资料
字号: 14楼

3、

附件附件:

下载次数:165
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-31 16:39:51
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-31 16:49 | 显示全部 短消息 资料
字号: 15楼

引用:
【Jokkkka的贴子】我想问一下,那IceSword需不需要设置什么?禁止进程创建?
要不怎么启动IS,病毒就启动不起来?
………………

这个帖子的关键:强调事先(中毒之前)在系统其它地方布置改名后的IceSword(名字随便取,后缀还用.exe)。
中招后,即使不能直接运行改名的IceSword,也可以这样让IceSword运行起来,用IceSword弄死这个病毒。
至于“禁止进程创建”————我的习惯必选此设置(点击IceSword工具栏上的“文件”、“设置”即可看到)。
道理吗,就是防止具有进程守护的病毒再次开启病毒进程,为下一步结束病毒进程做铺垫。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT