12   1  /  2  页   跳转

worm.agent.ug再次感染后的奇异现象

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:02 | 显示全部 短消息 资料
字号: 1楼

worm.agent.ug再次感染后的奇异现象



昨天写了个帖子(http://forum.ikaka.com/topic.asp?board=28&artid=8317275),扼要介绍了断网状态下感染worm agent.ug样本后的手工杀毒对策。
但是,连网状态感染这个蠕虫后,还会从网上下载一堆其它病毒。这时,手工杀毒能否轻易搞掂?
为了回答这个问题,关闭TINY的windows security以及瑞星的所有监控,彻底关闭SSM。然后运行worm agent.ug样本。
待TINY的activty monitor不再显示任何网络访问及文件下载、运行时,重启系统。
重启系统后,奇异现象出现了(图1)。表明worm agent.ug的部分IFEO劫持失败了(TINY和SSM可以正常运行),只有可怜的瑞星被此蠕虫劫持掉了。

图1

附件附件:

下载次数:339
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:02:29
描述:
预览信息:EXIF信息



最后编辑2007-06-02 11:09:09
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:03 | 显示全部 短消息 资料
字号: 2楼

此时,SSM可以将用户发现的病毒程序归入“阻止运行”组(图2)。

图2

附件附件:

下载次数:299
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:03:09
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:03 | 显示全部 短消息 资料
字号: 3楼

此后,worm agent.ug下载的病毒可以找到并删除(图3)。

图3

附件附件:

下载次数:274
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:03:37
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:04 | 显示全部 短消息 资料
字号: 4楼


worm agent.ug的主体文件也能删除(图4)。

图4

附件附件:

下载次数:246
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:04:06
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:04 | 显示全部 短消息 资料
字号: 5楼

可以用改名的SRENG删除病毒启动项及WINSOCK劫持项(图5)。

图5

附件附件:

下载次数:247
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:04:43
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:05 | 显示全部 短消息 资料
字号: 6楼

病毒添加的下列IFEO劫持项也能一一删除:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options           

+ 360rpt.exe            c:\windows\system32\wocfiba.exe

+ 360Safe.exe            c:\windows\system32\wocfiba.exe

+ 360tray.exe            c:\windows\system32\wocfiba.exe

+ adam.exe            c:\windows\system32\wocfiba.exe

+ AgentSvr.exe            c:\windows\system32\wocfiba.exe

+ AppSvc32.exe            c:\windows\system32\wocfiba.exe

+ autoruns.exe            c:\windows\system32\wocfiba.exe

+ avconsol.exe            c:\windows\system32\wocfiba.exe

+ avgrssvc.exe            c:\windows\system32\wocfiba.exe

+ AvMonitor.exe            c:\windows\system32\wocfiba.exe

+ avp.com            c:\windows\system32\wocfiba.exe

+ avp.exe            c:\windows\system32\wocfiba.exe

+ CCenter.exe            c:\windows\system32\wocfiba.exe

+ ccSvcHst.exe            c:\windows\system32\wocfiba.exe

+ EGHOST.exe            c:\windows\system32\wocfiba.exe

+ FileDsty.exe            c:\windows\system32\wocfiba.exe

+ FTCleanerShell.exe            c:\windows\system32\wocfiba.exe

+ FYFireWall.exe            c:\windows\system32\wocfiba.exe

+ HijackThis.exe            c:\windows\system32\wocfiba.exe

+ IceSword.exe            c:\windows\system32\wocfiba.exe

+ iparmo.exe            c:\windows\system32\wocfiba.exe

+ Iparmor.exe            c:\windows\system32\wocfiba.exe

+ isPwdSvc.exe            c:\windows\system32\wocfiba.exe

+ kabaload.exe            c:\windows\system32\wocfiba.exe

+ KaScrScn.SCR            c:\windows\system32\wocfiba.exe

+ KASMain.exe            c:\windows\system32\wocfiba.exe

+ KASTask.exe            c:\windows\system32\wocfiba.exe

+ KAV32.exe            c:\windows\system32\wocfiba.exe

+ KAVDX.exe            c:\windows\system32\wocfiba.exe

+ KAVPF.exe            c:\windows\system32\wocfiba.exe

+ KAVPFW.exe            c:\windows\system32\wocfiba.exe

+ KAVSetup.exe            c:\windows\system32\wocfiba.exe

+ KAVStart.exe            c:\windows\system32\wocfiba.exe

+ KISLnchr.exe            c:\windows\system32\wocfiba.exe

+ KMailMon.exe            c:\windows\system32\wocfiba.exe

+ KMFilter.exe            c:\windows\system32\wocfiba.exe

+ KPFW32.exe            c:\windows\system32\wocfiba.exe

+ KPFW32X.exe            c:\windows\system32\wocfiba.exe

+ KPfwSvc.exe            c:\windows\system32\wocfiba.exe

+ KRegEx.exe            c:\windows\system32\wocfiba.exe

+ KRepair.com            c:\windows\system32\wocfiba.exe

+ KsLoader.exe            c:\windows\system32\wocfiba.exe

+ KVCenter.kxp            c:\windows\system32\wocfiba.exe

+ KvDetect.exe            c:\windows\system32\wocfiba.exe

+ KvfwMcl.exe            c:\windows\system32\wocfiba.exe

+ KVMonXP.kxp            c:\windows\system32\wocfiba.exe

+ KVMonXP_1.kxp            c:\windows\system32\wocfiba.exe

+ kvol.exe            c:\windows\system32\wocfiba.exe

+ kvolself.exe            c:\windows\system32\wocfiba.exe

+ KvReport.kxp            c:\windows\system32\wocfiba.exe

+ KVScan.kxp            c:\windows\system32\wocfiba.exe

+ KVSrvXP.exe            c:\windows\system32\wocfiba.exe

+ KVStub.kxp            c:\windows\system32\wocfiba.exe

+ kvupload.exe            c:\windows\system32\wocfiba.exe

+ kvwsc.exe            c:\windows\system32\wocfiba.exe

+ KvXP.kxp            c:\windows\system32\wocfiba.exe

+ KvXP_1.kxp            c:\windows\system32\wocfiba.exe

+ KWatch.exe            c:\windows\system32\wocfiba.exe

+ KWatch9x.exe            c:\windows\system32\wocfiba.exe

+ KWatchX.exe            c:\windows\system32\wocfiba.exe

+ loaddll.exe            c:\windows\system32\wocfiba.exe

+ MagicSet.exe            c:\windows\system32\wocfiba.exe

+ mcconsol.exe            c:\windows\system32\wocfiba.exe

+ mmqczj.exe            c:\windows\system32\wocfiba.exe

+ mmsk.exe            c:\windows\system32\wocfiba.exe

+ Navapsvc.exe            c:\windows\system32\wocfiba.exe

+ Navapw32.exe            c:\windows\system32\wocfiba.exe

+ nod32.exe            c:\windows\system32\wocfiba.exe

+ nod32krn.exe            c:\windows\system32\wocfiba.exe

+ nod32kui.exe            c:\windows\system32\wocfiba.exe

+ NPFMntor.exe            c:\windows\system32\wocfiba.exe

+ PFW.exe            c:\windows\system32\wocfiba.exe

+ PFWLiveUpdate.exe            c:\windows\system32\wocfiba.exe

+ QHSET.exe            c:\windows\system32\wocfiba.exe

+ QQDoctor.exe            c:\windows\system32\wocfiba.exe

+ QQKav.exe            c:\windows\system32\wocfiba.exe

+ Ras.exe            c:\windows\system32\wocfiba.exe

+ Rav.exe            c:\windows\system32\wocfiba.exe

+ RavMon.exe            c:\windows\system32\wocfiba.exe

+ RavMonD.exe            c:\windows\system32\wocfiba.exe

+ RavStub.exe            c:\windows\system32\wocfiba.exe

+ RavTask.exe            c:\windows\system32\wocfiba.exe

+ RegClean.exe            c:\windows\system32\wocfiba.exe

+ rfwcfg.exe            c:\windows\system32\wocfiba.exe

+ rfwmain.exe            c:\windows\system32\wocfiba.exe

+ rfwsrv.exe            c:\windows\system32\wocfiba.exe

+ RsAgent.exe            c:\windows\system32\wocfiba.exe

+ Rsaupd.exe            c:\windows\system32\wocfiba.exe

+ runiep.exe            c:\windows\system32\wocfiba.exe

+ safelive.exe            c:\windows\system32\wocfiba.exe

+ scan32.exe            c:\windows\system32\wocfiba.exe

+ shcfg32.exe            c:\windows\system32\wocfiba.exe

+ SmartUp.exe            c:\windows\system32\wocfiba.exe

+ SREng.EXE            c:\windows\system32\wocfiba.exe

+ symlcsvc.exe            c:\windows\system32\wocfiba.exe

+ SysSafe.exe            c:\windows\system32\wocfiba.exe

+ TrojanDetector.exe            c:\windows\system32\wocfiba.exe

+ Trojanwall.exe            c:\windows\system32\wocfiba.exe

+ TrojDie.kxp            c:\windows\system32\wocfiba.exe

+ UIHost.exe            c:\windows\system32\wocfiba.exe

+ UmxAgent.exe            c:\windows\system32\wocfiba.exe

+ UmxAttachment.exe            c:\windows\system32\wocfiba.exe

+ UmxCfg.exe            c:\windows\system32\wocfiba.exe

+ UmxFwHlp.exe            c:\windows\system32\wocfiba.exe

+ UmxPol.exe            c:\windows\system32\wocfiba.exe

+ upiea.exe            c:\windows\system32\wocfiba.exe

+ UpLive.exe            c:\windows\system32\wocfiba.exe

+ vsstat.exe            c:\windows\system32\wocfiba.exe

+ webscanx.exe            c:\windows\system32\wocfiba.exe

+ WoptiClean.exe            c:\windows\system32\wocfiba.exe
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 09:05 | 显示全部 短消息 资料
字号: 7楼

以上操作完成后,重启系统。系统回复正常(图6)。

图6

附件附件:

下载次数:247
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-1 9:05:43
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 14:14 | 显示全部 短消息 资料
字号: 8楼

引用:
【hotboy的贴子】这毒没新意
………………

新意不新意还是次要问题。
我想知道:为什么重复感染后,会导致病毒的IFEO劫持部分失效。
首次感染时,病毒针对我这三个启动加载软件(TINY/SSM/瑞星)的所有IFEO劫持项均有效。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 14:28 | 显示全部 短消息 资料
字号: 9楼

引用:
【两个铁球的贴子】啊,“可怜的瑞星!”;哪卡巴的表现是怎么样的呢?
………………

注意“关闭TINY的windows security以及瑞星的所有监控,彻底关闭SSM。然后运行worm agent.ug样本。
如果事先关闭卡巴所有监控,估计卡巴一样玩儿完。因为IFEO劫持项中包括:
+ avp.com c:\windows\system32\wocfiba.exe

+ avp.exe c:\windows\system32\wocfiba.exe

用IFEO劫持灭杀软,不一定要中毒。你先关闭所有注册表监控软件,然后,自己建立一个IFEO劫持项(Debugger随便指向一个不相干的.exe或者指向杀软自身的.exe),然后,重启,就行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-01 14:38 | 显示全部 短消息 资料
字号: 10楼

引用:
【两个铁球的贴子】
猫版又有研究课题了:外软的学习功能。听grc网站提到,Z-A就有学习--〉适应功能。
………………

有这种功能的软件不算希罕。SSM也是其中之一。
但是,对于系统和应用程序不甚了了的用户————很晕(如何保证“学习”时加载运行的都是安全的程序?)
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT