瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 根据SRENG日志也难搞掂的一只木马

1   1  /  1  页   跳转

根据SRENG日志也难搞掂的一只木马

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:19 | 显示全部 短消息 资料
字号: 1楼

根据SRENG日志也难搞掂的一只木马



样本来自“剑盟”。

这个马,瑞星今天最新的病毒库还查不到。多引擎扫描结果————也没几家报。

中招的,那就只好扫日志在别人的帮助下手工杀毒。是这样吧?

好了。下一个问题:用什么扫日志?autoruns?扫不出异常。HijackThis?更不行了!
现在最流行的日志工具是SREng。那就用它扫个吧!

SREng日志中的异常项是这些:

1、服务
[C85B5A86 / C85B5A86]
  <C:\windows\system32\C85B5A86.EXE -service><Microsoft Corporation>

2、正在运行的进程

[PID: 684][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]
   
[PID: 1376][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\C85B5A86.DLL]  [Microsoft Corporation, 5.2.3790.1830]

由SREng日志可见,这东东够恶毒!插入了两个关键进程winlogon.exe和Explorer.EXE。

下一个问题:怎么动手杀?

根据这样的一份日志,一般思路是:先干掉它的服务项。重启后,删除:
C:\windows\system32\C85B5A86.EXE
C:\windows\system32\C85B5A86.DLL

好了。动手(图1)

重启。


【图1】

附件附件:

下载次数:238
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-22 16:19:48
描述:
预览信息:EXIF信息



最后编辑2007-04-09 14:36:39
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:20 | 显示全部 短消息 资料
字号: 2楼

重启后,核实一下效果(图2)。汗!!那个服务项又回来了!!

【图2】

附件附件:

下载次数:227
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-22 16:20:35
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:21 | 显示全部 短消息 资料
字号: 3楼

接着,SSM报告:winlogon.exe要添加注册表项(图3)。 抓狂了吧?

附件附件:

下载次数:204
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-22 16:21:11
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:22 | 显示全部 短消息 资料
字号: 4楼

可能的原因:(1)这东东监控注册表;(2)可能还有漏掉的注册表项。

打开注册表编辑器,搜吧。

搜索包含C85B5A86的注册表项。

有收获!

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services
C85B5A86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
C85B5A86

看见了吧?本机以及当前用户两个分支下各有一个服务项C85B5A86!前面,根据SREng日志只删除了其中一个(应该是本机的那个)。

这下明白了。用IceSword搞吧!连服务项带病毒文件————咱给它来个“一勺烩”!(图4)

注:先删除服务也行;先删除文件也行。擒贼擒王!我习惯先干它的文件。

重启。

再检查一下效果。

干净了。


【图4】

附件附件:

下载次数:248
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-22 16:22:02
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:37 | 显示全部 短消息 资料
字号: 5楼

引用:
【愛如潮水的贴子】注册表怎么打开看看呀~~~~~~~~~~~
………………

点击:“开始”、“运行”。
键入 regedit。按回车。

好在这东东还给中招用户留了条活路——没禁注册表编辑器。否则,不会用IceSword的,还得现找个注册表编辑工具才行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 16:40 | 显示全部 短消息 资料
字号: 6楼

补充一点:
这东东的文件属性也比较迷惑人。
只能从“版本号”上看出破绽。

附件附件:

下载次数:213
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-22 16:40:05
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-22 20:16 | 显示全部 短消息 资料
字号: 7楼

引用:
【鸟儿天上飞的贴子】
怎么看进程被插入了 带??的 告诉一下偶不会看!!  然后怎么看插入文件的路径 教教俺
这毒可怕啊
………………

PID:起始的是一个进程。
它下面的[.................]括起来的是这个进程中所含的线程。
一个进程中有该程序自己开的线程,也有其它应用程序程序(甚至是病毒)开的线程。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-23 16:55 | 显示全部 短消息 资料
字号: 8楼

引用:
【闪电风暴的贴子】
kxzhmc500@sina.com
………………

让你失望了
这破东东——运行后删除自身。运行两次后,就删光了。
我自己删除的文件样本也没保留。现在,手中已经空空。
你自己到剑盟找找吧(具体那个帖子——我也忘记了)。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT