利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:32 \| 显示全部短消息资料字号：小中大 1楼利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种最近很流行的病毒之一，病毒作者制作病毒的目的似乎并不在于获得金钱，这点不同于熊猫烧香，他仿佛是在不断的和反病毒工作者较量。具体分析不说了，下面是新变种的暂时查杀方法：此方法暂仅限于NTFS文件系统，更好的方法正在研究之中... 需要使用的工具 Process Explorer：http://www.onlinedown.net/soft/31805.htm Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下 Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip 1.打开我的电脑工具-文件夹选项－查看选项卡去掉使用简单文件共享(推荐)的钩附件: 文件名:554345200811702116.jpg 下载次数:1066 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:32:47 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-03-06 23:46:42
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:33 \| 显示全部短消息资料字号：小中大 2楼然后点击上面菜单栏下方的文件夹按钮（搜索右边的按钮）附件: 文件名:554345200811702143.jpg 下载次数:1052 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:33:14 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:33 \| 显示全部短消息资料字号：小中大 3楼在左边的资源管理器中单击打开系统盘（本例中均假设系统在C盘）打开C:\Documents and Settings\All Users\「开始」菜单\程序目录在“启动”目录上单击右键－属性－安全选项卡找到Everyone这个组下方的权限均选择拒绝应用－确定附件: 文件名:554345200811702159.jpg 下载次数:1054 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:33:30 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:33 \| 显示全部短消息资料字号：小中大 4楼 2.打开Process Explorer 查看－选择“显示下级窗格” 附件: 文件名:554345200811702227.jpg 下载次数:1041 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:33:57 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:34 \| 显示全部短消息资料字号：小中大 5楼此时找到病毒进程lsass.exe单击选中他然后查看下方窗口找到C:\boot.ini这一项右键单击点击关闭句柄附件: 文件名:554345200811702245.jpg 下载次数:1081 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:34:16 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:34 \| 显示全部短消息资料字号：小中大 6楼 3.打开Xdelbox1.6 复制如下文字（前提是你的系统在C盘,2000系统需把Windows 改为WINNT） C:\WINDOWS\system32\Com\lsass.exe C:\WINDOWS\system32\Com\netcfg.000 C:\WINDOWS\system32\Com\netcfg.dll C:\WINDOWS\system32\Com\smss.exe C:\WINDOWS\system32\drivers\alg.exe C:\WINDOWS\system32\AntiTool.exe C:\WINDOWS\system32\dnsq.dll C:\037589.log 在Xdelbox下面的大框中单击右键点击 “剪贴板导入不检查路径” 附件: 文件名:554345200811702319.jpg 下载次数:1043 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:34:50 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:35 \| 显示全部短消息资料字号：小中大 7楼之后刚才复制的那个文件列表将出现在下面的大框中然后再在下面的大框中单击右键点击 “立即重启执行删除” 软件会自动重启计算机附件: 文件名:554345200811702344.jpg 下载次数:1055 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:35:23 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:35 \| 显示全部短消息资料字号：小中大 8楼重启计算机以后会有两个系统进入的选择的倒计时界面第一个是你原来的windows系统第二个是这个软件给你设定的dos系统不用你管，它会自动选择进入第二个系统类似Dos的滚动界面完成后就可以了之后他会自动重启进入正常模式 4.重启之后的工作打开Icesword 删除各个分区下面的pagefile.pif和autorun.inf（一定不要遗漏）使用杀毒软件全盘杀毒使用iframekill修复被感染的htm等网页文件
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2008-01-19 11:23 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【轩辕小聪的贴子】我在剑盟给你看的那帖子，就已经告诉你关闭文件句柄的方法了，里面说的XX就是指的Process Explorer，怎么你现在才想到？

其实，不要老只想着“绞杀”，应该好好看看它到底增加了什么。打开boot.ini这个是老变种就有的特征。

最近那个驱动NetApi00.sys呢？没人看？那个驱动是修改SSDT的。
病毒通过读取硬盘中的ntoskrnl.exe，得到原始的SSDT表函数地址，然后通过DeviceIoControl将其传递给驱动程序，并由驱动程序来还原SSDT表，上演了R3与R0配合还原SSDT表的“好戏”。而且它设计的是一口气还原整个SSDT表。
其中它怎么搜索到ntoskrnl.exe中的SSDT表原始地址的，这一部分比较有价值。
这部分已经不像是一个rootkit，反而像是一个anti-rootkit了。这说明两者本身就没有明显的界限，问题只在于你的目的（还原SSDT为的是把杀软废掉）。
SSDT表被还原了，瑞星挂掉也就正常了……
但是这部分设置得不太合理，在做了N多注册表操作之后才“想起”要去还原SSDT，实际运行中很可能还没到这一步，就已经被安全软件拦截到了。

这部分内容我刚刚看完，等睡醒了整理一下发出来。
………………

NetApi00.sys这个我知道恢复了SSDT 然后根据一个关键词的表结束某些杀毒软件进程
但对于驱动我不太了解所以也不敢给出关于这方面的分析和查杀还得等着你的分析咯～～

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-19 19:36 \| 显示全部短消息资料字号：小中大 10楼非常希望看到关于那个驱动的分析还有我给你PM的几个问题的解答嘿嘿
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-01-17 00:32 \| 显示全部短消息资料字号：小中大 1楼利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种最近很流行的病毒之一，病毒作者制作病毒的目的似乎并不在于获得金钱，这点不同于熊猫烧香，他仿佛是在不断的和反病毒工作者较量。具体分析不说了，下面是新变种的暂时查杀方法：此方法暂仅限于NTFS文件系统，更好的方法正在研究之中... 需要使用的工具 Process Explorer：http://www.onlinedown.net/soft/31805.htm Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下 Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip 1.打开我的电脑工具-文件夹选项－查看选项卡去掉使用简单文件共享(推荐)的钩附件: 文件名:554345200811702116.jpg 下载次数:1066 文件类型:image/pjpeg 文件大小: 上传时间:2008-1-17 0:32:47 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2008-03-06 23:46:42
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

附件:

文件名:554345200811702116.jpg 下载次数:1066 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(57906); 上传时间:2008-1-17 0:32:47 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702143.jpg 下载次数:1052 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(20018); 上传时间:2008-1-17 0:33:14 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702159.jpg 下载次数:1054 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(50008); 上传时间:2008-1-17 0:33:30 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702227.jpg 下载次数:1041 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(98100); 上传时间:2008-1-17 0:33:57 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702245.jpg 下载次数:1081 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(95642); 上传时间:2008-1-17 0:34:16 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702319.jpg 下载次数:1043 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(62842); 上传时间:2008-1-17 0:34:50 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:554345200811702344.jpg 下载次数:1055 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(67670); 上传时间:2008-1-17 0:35:23 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

文件名:554345200811702116.jpg

下载次数:1066

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:32:47

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702143.jpg

下载次数:1052

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:33:14

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702159.jpg

下载次数:1054

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:33:30

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702227.jpg

下载次数:1041

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:33:57

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702245.jpg

下载次数:1081

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:34:16

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702319.jpg

下载次数:1043

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:34:50

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:554345200811702344.jpg

下载次数:1055

文件类型:image/pjpeg

文件大小:

上传时间:2008-1-17 0:35:23

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01