瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:“ad209”——关于你那个“8位数.exe文件”

1   1  /  1  页   跳转

致:“ad209”——关于你那个“8位数.exe文件”

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 09:48 | 显示全部 短消息 资料
字号: 1楼

致:“ad209”——关于你那个“8位数.exe文件”

用IceSword强制删除下列文件以及各个分区根目录下的autorun.inf和“8位数.exe文件”

附件附件:

下载次数:289
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 9:48:59
描述:
预览信息:EXIF信息



最后编辑2007-05-24 17:44:22
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 09:52 | 显示全部 短消息 资料
字号: 2楼

结束explorer.exe进程(此进程不干净)。再调用任务管理器,运行explorer.exe。
然后用autoruns(需改名运行)删除下图所示注册表项以及autoruns见到的所有IFEO劫持项。

附件附件:

下载次数:282
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 9:52:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 11:44 | 显示全部 短消息 资料
字号: 3楼

注意:此毒还在当前用户临时文件夹释放一个病毒文件dl1.exe。
病毒dll运行受阻后,dl1.exe运行。
强制卸除插入explorer.exe进程的病毒dll模块后,显示隐藏文件,这些病毒文件可通过普通方法一一删除。

注:本次运行,用Tiny阻止了其它分区的文件创建,故图中没有相应的autorun.inf和那个“8位随即数字的.exe”。

附件附件:

下载次数:268
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 11:44:40
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 11:52 | 显示全部 短消息 资料
字号: 4楼

用Tiny观察这个样本,需要按下图做系统权限防护设置。这样,才能看到你要看的东西。
否则,病毒会强迫终止amon.exe进程,你就啥也别看了。
至于“禁止强迫关机”,这条设置是用Tiny观测病毒时必须的。否则,你就晕吧!

附件附件:

下载次数:283
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 11:52:54
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 12:04 | 显示全部 短消息 资料
字号: 5楼

引用:
【孤独更可靠的贴子】老大

我早上刚测试完``

跟您说的差不多``

这病毒相当精明``

用冰刃试图卸模块的时候,它立马消失```

开机再次插进程``太坏了  >_<

```

偶也写个```
………………

那个病毒dll需要强制卸除两次。
当然如果配合应用其它策略(不完全指望IceSword),杀灭过程要简单些。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 17:33 | 显示全部 短消息 资料
字号: 6楼

引用:
【ad209的贴子】不能全格啊,其他的分区有东西啊。只格c盘行么?
………………


不用格盘。
到这里下载IceSword:
http://www.blogcn.com/user17/pjf/blog/44570897.html
可以搞掂那烂DD。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 17:50 | 显示全部 短消息 资料
字号: 7楼

引用:
【孤独更可靠的贴子】根本没必要格

```

猫叔写的挺详细D``

嘿嘿
………………

那个病毒dll有些意思!

可以追踪用户的操作而行进程插入。

比如:你用IceSword禁止进程创建,然后结束了explorer.exe。
之后,取消禁止进程创建,调用任务管理器,再次运行explorer.exe。
这时,explorer.exe进程是干净的;但是,病毒dll已经插入的“任务管理器”进程中。
有点儿意思!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT