有趣的wdm.exe（兼答“手指冰凉”的问题）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛有趣的wdm.exe（兼答“手指冰凉”的问题）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:15 \| 显示全部短消息资料字号：小中大 1楼有趣的wdm.exe（兼答“手指冰凉”的问题）收到“手指冰冷”给我的wdm.exe。卡巴斯基今天的病毒库不报毒。但我认为它是后门（或木马）。【wdm.exe运行及其处理过程】： 1、Action:Prevented Application:wdm.exe Access:Open device Object:Tcpip\DevN\-\Ip——试图连接网络，但被Tiny阻止。 2、System information Application:rundll32.exe Access:Process ended——wdm.exe终止了rundll32.exe进程。 3、Application:wdm.exe Access:Create file Object:C:\WINDOWS\system32\Drivers\ksld.sys——wdm.exe创建驱动文件。 4、Action:Monitored Application:wdm.exe Access:Loading dll Object:C:\WINDOWS\system32\drivers\ksld.sys——wdm.exe加载驱动文件。 5、Action:Monitored Application:wdm.exe Access:Loading dll Object:C:\WINDOWS\system32\ntoskrnl.exe——wdm.exe加载ntoskrnl.exe。 6、Action:Monitored Application:wdm.exe Access:Create file Object:C:\Program Files\Tencent\QQ\TIMPlatfrom.exe——wdm.exe创建文件TIMPlatfrom.exe。 7、Action:Monitored Application:wdm.exe Access:Overwrite file Object:C:\Program Files\Tencent\QQ\TIMPlatform.exe——wdm.exe改写文件TIMPlatfrom.exe。 8、Action:Monitored Application:wdm.exe Access:Write file Object:C:\Program Files\Tencent\QQ\TIMPlatform.exe——wdm.exe写文件TIMPlatfrom.exe。 9、Action:Monitored Application:wdm.exe Access:Delete registry value Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Shell——wdm.exe删除注册表项。 10、Action:Monitored Application:wdm.exe Access:Set registry key value Object:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load——wdm.exe添加注册表项。 11、这步活动被Tiny漏掉了，但被SSM监测到：操作：添加 HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ 名称： KernelFaultCheck 新的值： C:\WINDOWS\system32\wdm.exe 12、看看HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load加了什么。结果——什么也没看到。藏了？汗！ 13、用SSM禁止C:\WINDOWS\system32\wdm.exe 和C:\WINDOWS\system32\Drivers\ksld.sys加载运行。重启系统。 14、删除文件： C:\WINDOWS\system32\wdm.exe C:\WINDOWS\system32\Drivers\ksld.sys C:\Program Files\Tencent\QQ\TIMPlatform.exe（注意：这个目录下居然有两个完全同名的TIMPlatform.exe，只是创建日期不同。删除那个最近创建的）。 15、删除注册表项： HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ KernelFaultCheck （值： C:\WINDOWS\system32\wdm.exe）。 16、卸载QQ，重新安装（原有的那个TIMPlatform.exe被动了手脚）。处理完毕。 2006-08-13 01:46:28.920000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:15 \| 显示全部短消息资料字号：小中大 2楼这个木马（或后门）的有趣之处： 1、仿冒微软的文件，且较逼真（图1）。产品版本、产品名称...一应俱全。蛮像那么回事。但是，wdm.exe运行后立即消失——让人生疑！尽管它可以“金蝉脱壳”，但Tiny还是监测到它跑到了%system%文件夹。附件: 文件名:155847200681310754.jpg 下载次数:407 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-13 1:15:50 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:16 \| 显示全部短消息资料字号：小中大 3楼 2、植入系统运行后，每进行一步其它操作（如：用SnagIt截图），进程列表中增加一个IE进程。但此时IE浏览器并未打开（图2）。附件: 文件名:155847200681310831.jpg 下载次数:438 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-13 1:16:27 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:17 \| 显示全部短消息资料字号：小中大 4楼 3、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load貌似为空。搞不懂。 4、能在C:\Program Files\Tencent\QQ\目录下建立一个完全同名的TIMPlatform.exe。一个目录下出现两个文件名完全相同的文件（图3）。汗！附件: 文件名:155847200681310908.jpg 下载次数:372 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-13 1:17:04 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:19 \| 显示全部短消息资料字号：小中大 5楼 5、sys文件通过wdm.exe加载（反而容易暴露）附件: 文件名:155847200681311115.jpg 下载次数:381 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-13 1:19:11 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-08-13 01:43 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【yanmings的贴子】

引用:

【baohe的贴子】3、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load貌似为空。搞不懂。
4、能在C:\Program Files\Tencent\QQ\目录下建立一个完全同名的TIMPlatform.exe。一个目录下出现两个文件名完全相同的文件（图3）。汗！
………………

这个您看错咯，不是完全相同，病毒文件名是TIMPlatfrom.exe，O和R掉了个个儿
………………

汗！
眼花了！就是容易出错啊！！

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-13 01:15 \| 显示全部短消息资料字号：小中大 1楼有趣的wdm.exe（兼答“手指冰凉”的问题）收到“手指冰冷”给我的wdm.exe。卡巴斯基今天的病毒库不报毒。但我认为它是后门（或木马）。【wdm.exe运行及其处理过程】： 1、Action:Prevented Application:wdm.exe Access:Open device Object:Tcpip\DevN\-\Ip——试图连接网络，但被Tiny阻止。 2、System information Application:rundll32.exe Access:Process ended——wdm.exe终止了rundll32.exe进程。 3、Application:wdm.exe Access:Create file Object:C:\WINDOWS\system32\Drivers\ksld.sys——wdm.exe创建驱动文件。 4、Action:Monitored Application:wdm.exe Access:Loading dll Object:C:\WINDOWS\system32\drivers\ksld.sys——wdm.exe加载驱动文件。 5、Action:Monitored Application:wdm.exe Access:Loading dll Object:C:\WINDOWS\system32\ntoskrnl.exe——wdm.exe加载ntoskrnl.exe。 6、Action:Monitored Application:wdm.exe Access:Create file Object:C:\Program Files\Tencent\QQ\TIMPlatfrom.exe——wdm.exe创建文件TIMPlatfrom.exe。 7、Action:Monitored Application:wdm.exe Access:Overwrite file Object:C:\Program Files\Tencent\QQ\TIMPlatform.exe——wdm.exe改写文件TIMPlatfrom.exe。 8、Action:Monitored Application:wdm.exe Access:Write file Object:C:\Program Files\Tencent\QQ\TIMPlatform.exe——wdm.exe写文件TIMPlatfrom.exe。 9、Action:Monitored Application:wdm.exe Access:Delete registry value Object:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Shell——wdm.exe删除注册表项。 10、Action:Monitored Application:wdm.exe Access:Set registry key value Object:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load——wdm.exe添加注册表项。 11、这步活动被Tiny漏掉了，但被SSM监测到：操作：添加 HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ 名称： KernelFaultCheck 新的值： C:\WINDOWS\system32\wdm.exe 12、看看HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load加了什么。结果——什么也没看到。藏了？汗！ 13、用SSM禁止C:\WINDOWS\system32\wdm.exe 和C:\WINDOWS\system32\Drivers\ksld.sys加载运行。重启系统。 14、删除文件： C:\WINDOWS\system32\wdm.exe C:\WINDOWS\system32\Drivers\ksld.sys C:\Program Files\Tencent\QQ\TIMPlatform.exe（注意：这个目录下居然有两个完全同名的TIMPlatform.exe，只是创建日期不同。删除那个最近创建的）。 15、删除注册表项： HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ KernelFaultCheck （值： C:\WINDOWS\system32\wdm.exe）。 16、卸载QQ，重新安装（原有的那个TIMPlatform.exe被动了手脚）。处理完毕。 2006-08-13 01:46:28.920000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 有趣的wdm.exe（兼答“手指冰凉”的问题）

有趣的wdm.exe（兼答“手指冰凉”的问题）

有趣的wdm.exe（兼答“手指冰凉”的问题）

附件:

文件名:155847200681310754.jpg 下载次数:407 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(71018); 上传时间:2006-8-13 1:15:50 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200681310831.jpg 下载次数:438 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(73012); 上传时间:2006-8-13 1:16:27 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200681310908.jpg 下载次数:372 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(78048); 上传时间:2006-8-13 1:17:04 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200681311115.jpg 下载次数:381 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(46790); 上传时间:2006-8-13 1:19:11 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛有趣的wdm.exe（兼答“手指冰凉”的问题）

文件名:155847200681310754.jpg

下载次数:407

文件类型:image/pjpeg

文件大小:

上传时间:2006-8-13 1:15:50

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200681310831.jpg

下载次数:438

文件类型:image/pjpeg

文件大小:

上传时间:2006-8-13 1:16:27

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200681310908.jpg

下载次数:372

文件类型:image/pjpeg

文件大小:

上传时间:2006-8-13 1:17:04

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200681311115.jpg

下载次数:381

文件类型:image/pjpeg

文件大小:

上传时间:2006-8-13 1:19:11

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01