1   1  /  1  页   跳转

机器狗新变种及其预防措施

机器狗新变种及其预防措施

样本来自剑盟社区http://bbs.janmeng.com/thread-705751-1-1.html
文件名:explorer.exe
文件大小:954K
MD5值:e89e8f1ab469a56342f823831cd9a
瑞星20.29.30扫此样本————不报毒。
在桌面上运行病毒文件后,病毒explorer.exe先运行dllcache文件夹中的explorer.exe;然后访问网络202.106.195.29、222.191.251.214、59.60.154.154、59.60.152.22、222.191.251.214。
在IE临时文件夹内创建O5PB3DVN\ggg[1].txt
在当前用户临时文件夹内创建~F*.tmp
在c:\windows\system32\drivers\目录下创建:
192yuioealdjfiefjsdfa2s.txt
2a.exe
2a.txt
3a.exe
3a.txt
.
.
.
25a.exe
25a.txt
此后,在system32文件夹释放“随机字母.dll”病毒文件若干。

结束掉原位运行的病毒进程explorer.exe,删除病毒DLL。完事。

初步观察,扫清战场后,采取如下措施:

XP专业版,在原来预防“机器狗”的“软件限制策略”基础上(http://forum.ikaka.com/topic.asp?board=28&artid=8422763),再添加两条路径策略,禁止c:\windows\system32\drivers\*.exe和*.dll即可完全防住这个机器狗新变种。

增加上述软件限制策略后,再次运行这个样本,病毒的上述活动过程均以失败告终。
此后,Tiny防火墙的监控记录中可见远程IP:222.222.27.11试图通过80端口访问系统,但均被Tiny一一拦截掉了。
查看SRENG日志,无异常。
至此,结束掉原位运行的病毒进程explorer.exe。完事。
最后编辑2008-02-28 15:19:17
分享到:
gototop
 

引用:
【大连蓝天的贴子】【回复“baohe”的帖子】有没有“狡猾的狐狸”新木马的情况...
………………

我没有此毒样本。
你若有,请发给我。谢谢!
gototop
 

引用:
【爱你一万年a的贴子】增加上述软件限制策略后,再次运行这个样本,病毒的上述活动过程均以失败告终。
此后,Tiny防火墙的监控记录中可见远程IP:222.222.27.11试图通过80端口访问系统,但均被Tiny一一拦截掉了。
怎样把试图访问系统也去掉?
………………

结束病毒样本进程即可
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT