1   1  /  1  页   跳转

[原创] 公布练习样本的有关信息

公布练习样本的有关信息

这个帖子的标题咋这么别扭!想不出合适的了。就它吧。

之所以不敢称为“练习答案”,是因为每个参与者中毒和杀毒过程的具体情形变化多端。因此,没有可以称为“标准答案”的DD。

言归正传。

之所以提供这个毒作为实习生练手的样本,在于它有可能反应出一般入门者常见的毛病--------中毒后缺乏冷静思考。恨不得三下五除二,嘁哩喀喳,将病毒灭绝。

这个毒有个特点:连网状态下,病毒样本完全运行后,如果你不首先断开网络,就急急忙忙地动手结束病毒进程(且不能一次干净利索地结束病毒以及被病毒插入的应用程序进程),病毒会报复你-----进一步增加进入系统的病毒文件。胡乱结束进程操作步骤越多,进入系统的病毒文件越多。

附件是RAR包,内有14幅图片,是中此毒后手工杀毒操作的全部过程。其中有正确的操作步骤,也有成心模拟“未断网就徒劳地结束病毒进程4次操作带来的尴尬局面”。图中有简要文字介绍。相信大家能够理解。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:fig.rar
下载次数:283
文件类型:application/x-rar-compressed
文件大小:
上传时间:2008-7-10 20:22:56
描述:rar

本帖被评分 1 次
最后编辑baohe 最后编辑于 2008-07-10 20:23:12
分享到:
gototop
 

回复 5F 没有眼泪 的帖子

turVNHwX.dll始终无法删除,应该是它插入了winlogon.exe进程。此dll一旦插入了winlogon,强制卸除都不行(系统崩溃重启)。可以用IceSword强制删除这个病毒文件。然后重启系统,删除其添加的notify键值。
至于你的windows任务管理器为何看不到msnhostin.exe进程,从你那张IceSword进程图看,msnhostin.exe已经变为隐藏进程了。
最后编辑baohe 最后编辑于 2008-07-11 08:23:05
gototop
 

回复 6F 没有眼泪 的帖子

第一份日志:

病毒启动项还在:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MSN Host><msnhostin.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{68950839-2675-49E2-B6A5-442E0B0D1BA4}><C:\WINDOWS\system32\tuvVNHwX.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvVNHwX]
    <WinlogonNotify: tuvVNHwX><tuvVNHwX.dll>  []
浏览器加载项
[]
  {68950839-2675-49E2-B6A5-442E0B0D1BA4} <C:\WINDOWS\system32\tuvVNHwX.dll, N/A>

winlogon.exe进程插入了两个病毒模块:
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\tuvVNHwX.dll]  [N/A, ]
    [C:\WINDOWS\system32\ljJYRKdd.dll]  [N/A, ]

explorer.exe进程插入了一个病毒模块:
[PID: 1728 / yezi][C:\WINDOWS\explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\tuvVNHwX.dll]  [N/A, ]

————————————————————————

第二份日志:

基本干净。

请删除下面的浏览器加载项:

[]
  {68950839-2675-49E2-B6A5-442E0B0D1BA4} <, >
最后编辑baohe 最后编辑于 2008-07-11 08:21:51
gototop
 

回复 6F 没有眼泪 的帖子

[引用]那个系统加固用户设置还没有完全理解


[回复]

那图是针对实机运行病毒者讲的。


如果你的瑞星“系统加固用户设置”中勾选了“登陆附加模块”项,“触发规则时” 勾选了“拒绝”,瑞星会保护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下的所有键值项。
你玩儿那个样本时是关闭瑞星监控的,病毒在此键下写入了自己的加载项。
手杀前面的所有操作结束、重启系统后,瑞星所有监控处于开启状态。此时,你不按那图提示临时改一下设置,便无法删除病毒在notify下写入的内容。
gototop
 

回复: 公布练习样本的有关信息



引用:
原帖由 networkedition 于 2008-7-11 12:05:00 发表
希望猫叔多组织类似活动,样本最好从易到难。  

这个样本算比较容易的。但有可能变成比较难对付的。
若最后搞到不可收拾的局面出现,说明操作者的手杀操作基本常识缺乏。
gototop
 

回复: 公布练习样本的有关信息



引用:
原帖由 小九的寒 于 2008-7-11 16:05:00 发表
大版主,纯粹是对计算机病毒感兴趣呀
  听说你的职业不是it

俺是菜鸟。
不知IT为何物。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT