瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 ★ RootKit木马的亲密接触 ★【原创】

12   2  /  2  页   跳转

★ RootKit木马的亲密接触 ★【原创】

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-13 12:24 | 显示全部 短消息 资料
字号: 11楼

补充1:若只删除问题文件,不把rpcss服务的DLL改回初始值会导致Rpcss服务无法启动的。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-14 08:56 | 显示全部 短消息 资料
字号: 12楼

补充2:木马作者也许没有在XP系统测试,此木马在XP系统驱动无法加载,rpcss替换DLL也有问题。本文中计算机系统为win2K。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-14 16:40 | 显示全部 短消息 资料
字号: 13楼

引用:
【2116bromgamed2m的贴子】【BlackStone的贴子】

我问一下(如图)

1:它怎么老是连接网络?我没有调用

2:HH.EXE 是什么东东呀?
谢谢
...........................


1.防火墙已经显示的很清楚了,应该是realplay在尝试打开它的主页。
2.HH.exe是CHM文件的浏览工具,也就是说你打开CHM文件,windows系统自动启动一个hh.exe
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-15 11:11 | 显示全部 短消息 资料
字号: 14楼

引用:
【诸神的黄昏的贴子】应该是 PCShare服务端吧。其实只要用ICESWORD删除了那个SYS就好搞定了。
...........................


多谢这位朋友的回复。

我下载了PCShare,测试了一下生成的客户端程序与我本文写的实现原理相同,但它没有隐藏注册表,没有我文中提到的这个厉害,估计我文中提到的这个是它最新版本生成的,但我找不到最新版本的PcShare。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-19 15:39 | 显示全部 短消息 资料
字号: 15楼

引用:
【baohe的贴子】【回复“BlackStone”的帖子】
这类木马已经见到过4个。一般规律是:感染系统后, 释放.exe、.dll、.sys各一个。.dll插入ixplore.exe或winlogon.exe、services.exe等系统关键进程。.exe和.sys启动加载。如果有IceSword,总能找到查杀线索。
目前为止,这些木马的感染过程还不能完全逃脱IceSword和TPF2005的监测。下面一个例子是10月7日观察的:
http://forum.ikaka.com/topic.asp?board=28&artid=7272018
...........................


用IceSword可以解决,但还得找到木马修改的系统注册表启动项,就拿我我帖子中提到的这个来说吧,用IceSword清除没问题,若没有把Rpcss服务的ServiceDll项改回源值,会引起系统的Rpcss启动失败或启动异常的。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT