1   1  /  1  页   跳转

假如某一天你霉成了这幅样子

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:40 | 显示全部 短消息 资料
字号: 1楼

假如某一天你霉成了这幅样子



这是人为制造的一个乱乱糊糊的感染局面(也许有一天会成为现实)。目的是检验一下手中的工具——对付“熊猫”引起的复合感染是否有效(有Tiny保护。无保护措施者勿模仿)。

关闭杀软监控。

感染顺序:
1、RavMon.exe(一个木马下载器)
2、sxs.exe(RavMon.exe植入系统后下载来的)
3、setup.exe(最后还中了熊猫)

搞完后,扫个日志。

SREng日志中的Autorun项出现了这种令人晕糊糊的东西(杂种?):

Autorun.inf
[C:\]
[AutoRun]
open=setup.exe
shell\open=打开(&O)
shell\open\Command=setup.exe
shell\explore=资源管理器(&X)
shell\explore\Command="setup.exe -e"
[D:\]
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"

麻烦的是:遇到这种autorun.inf,右击分区盘符时,右键菜单中并无auto或“自动播放”,一切如常(图1)。但是,无论你双击打开一个分区,还是右键打开一个分区,都会运行其中一个木马。
而且,这时“熊猫”正在运行,当你你试图运行工具程序时,窗口一闪,工具程序立即关闭。

图1

附件附件:

下载次数:186
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:40:53
描述:
预览信息:EXIF信息



最后编辑2007-01-25 00:07:19
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:41 | 显示全部 短消息 资料
字号: 2楼

有些抓狂了吧?

别急!还有一根儿救命稻草呢——KillBox 2.0.0.881。

运行KillBox 2.0.0.881。那傻乎乎的熊猫并不理睬(窃喜)。结束病毒进程(图2)。

接下来,就好办了。

将下列内容保存为fix.reg。双击之。

REGEDIT4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001


然后,点击“我的电脑”、“工具”、“文件夹选项”、“查看” 。勾选“显示系统文件夹内容”、“显示所有文件和文件夹”。按“确定”。

图2

附件附件:

下载次数:187
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:41:54
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 16:43 | 显示全部 短消息 资料
字号: 3楼

接下来,用KillBox(当然也可用SREng)一一痛宰之(图3)。

最后用杀软收拾一下被熊猫感染过的几个.exe。


图3

附件附件:

下载次数:177
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-12 16:43:31
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 17:00 | 显示全部 短消息 资料
字号: 4楼

引用:
【水树雨下的贴子】如果没有KillBox 怎么办?第三方任务管理器+winrar管不管用?
………………

没有杀掉熊猫进程前————不行。
我试过的工具:TuneUp——不行。WINRAR——可以,但不能杀进程。IceSword————熊猫就是灭它的窗口。SSM————先中了熊猫,再运行SSM,根本没戏。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 17:04 | 显示全部 短消息 资料
字号: 5楼

引用:
【水树雨下的贴子】诺顿进程管理器熊猫杀不杀?
………………

没用过
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 20:52 | 显示全部 短消息 资料
字号: 6楼

引用:
【spiritfire的贴子】汗死! 学习了,没有猫叔玩不死的病毒!
PS:为啥在超级主题中,没看见这个帖子?
………………

以后,尽量不发置顶帖子了。
盗窃现象太严重。这就是个例子:http://www.fat32.cn/viewthread.php?tid=3314&extra=page%3D2
严重鄙视这种“小偷”一样的版主!!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 21:42 | 显示全部 短消息 资料
字号: 7楼

引用:
【鸟儿天上飞的贴子】大叔给解释一下
[D:\]
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"
这个是什么意思  右键选择打开都运行病毒?
………………

主帖已经提到:
这样的 Autorun.inf,右键菜单无异常。但是,无论你通过双击、右键菜单打开分区,还是点击桌面的程序,都导致木马RavMon.exe运行 。

作为对照,你可以看看有右键菜单的Autorun.inf(熊猫的):
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-12 22:21 | 显示全部 短消息 资料
字号: 8楼

引用:
【mopery的贴子】-.-

话说我的文章也被...

小陌 说过了..

不理睬..

随便他们怎么剽窃...
………………

有个办法:
写好帖子,截图,加水印。把文字变成加水印标记的图发上来。
麻烦了点儿哈..........
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT