1   1  /  1  页   跳转

诡异的Rootkit.Antihide.b

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:42 | 显示全部 短消息 资料
字号: 1楼

诡异的Rootkit.Antihide.b

svch0st.exe-一个木马。瑞星报Rootkit.Antihide.b。卡巴斯基报:Trojan-PWS.Win32.WOW.bp。
此马在我的XPSP2系统中运行后,见到下述诡异现象:
1、在注册表的HKLM\System\CurrentControlSet\Services分支添加squell(图1)。
2、在注册表的HKLM\System\CurrentControlSet\Services分支添加NPF(图2)。
3、先在C:\windows\system32\下释放驱动vook.sys,待niq4fvl.dll释放到C:\windows\下且插入所有当前进程后,vook.sys便自裁了!重启系统后,原来添加到HKLM\System\CurrentControlSet\Services分支中的NPF也自裁了;但是,HKLM\System\CurrentControlSet\Services分支中的squell依然存在。(图3)
4、重启后,C:\windows\下的niq4fvl.dll可直接删除;HKLM\System\CurrentControlSet\Services分支中的squell也可删除。
谁能解释一下这种诡异的问题。请教了。
图1

附件附件:

下载次数:207
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:42:48
描述:
预览信息:EXIF信息



最后编辑2006-06-10 18:19:28
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:43 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:185
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:43:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 20:43 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:188
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 20:43:42
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:04 | 显示全部 短消息 资料
字号: 4楼

引用:
【我无邪的贴子】版主说请教了,意思是这个病毒现在无法解决?
这可难过了。
...........................

木马已经宰了。主要是那个C:\windows\下的niq4fvl.dll,插入当前运行的所有进程。你运行一个,它就插一个。但重启系统后,可以删除这个dll。
但无法解释观察到的那些现象。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:14 | 显示全部 短消息 资料
字号: 5楼

引用:
【闪电风暴的贴子】没有启动项??
...........................

启动项见图1(vook.sys作为系统服务启动加载)。
但是vook.sys自裁了,这个系统服务项也就是摆设。
所以,重启系统后,那个dll就被轻易的宰掉了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-09 21:21 | 显示全部 短消息 资料
字号: 6楼

当前用户的临时文件夹Temp也是空的(不像中招者的Temp中有隐藏的svch0st.exe)

附件附件:

下载次数:178
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-9 21:21:25
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-10 11:37 | 显示全部 短消息 资料
字号: 7楼

引用:
【worldkiller的贴子】智能型的病毒,防止反汇编,防用常用软件监视,发现就自毁,太强了!
...........................

已经捉到这个vook.sys了。怎么捉到的,就不说了。

附件附件:

下载次数:139
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-10 11:37:06
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT