1   1  /  1  页   跳转

[原创] 一个值得注意的网马下载器

一个值得注意的网马下载器

这是一个网页挂的木马下载器。http://yyhhccnn.cn/1.exe这个病毒网址已经失效。

此样本来自剑盟http://bbs.janmeng.com/thread-808350-1-1.html

中招后,SRENG 2.6.18.1205仍可正常运行。SRENG日志的异常所见见附件。

这个马群比较BT。通过恢复SSDT,使杀软等安全工具失效。替换系统文件wuauclt.exe、beep.sys。释放病毒驱动HBKernel.sys........。
此毒不但通过IFEO劫持目前流行的杀软及常用辅助杀毒工具,且监视相关安全软件、辅助工具的窗口、目录、图标。一旦发现相关程序活动,立即关闭程序窗口。SSM也没逃过其黑手。使中招者难以下手杀毒。


例如:中招后,你点击IceSword所在的目录,窗口会立即关闭;将IceSword.exe改名为000.exe,图标不变,这个000.exe也不能运行。尝试从IceSword所在目录拷贝IceSword.exe到桌面(文件名取0.com),结果:在桌面生成一个病毒文件.pif。

只好从其它电脑拷贝一个IceSword.exe,取名为0.com,放在U盘上。再将U盘上的0.com拷贝至C盘根目录下。在cmd下键入:c:\0.com /c,回车。这个改名为0.com的IceSword可运行,但窗口即刻被病毒关闭。汗!

再次键入c:\0.com /c,按回车。OK!不知是病毒反应不过来,还是此毒本身考虑欠周到,反正我第二次在cmd下运行这个改名为0.com的IceSword,成功了。

主动权到手!立即禁止进程创建。结束系统核心进程以外的所有进程。删除SRENG日志所见的病毒文件,删除相应的注册表加载项、驱动项、服务项以及IFEO劫持项。

重启系统。

重启后,杀软、辅助工具已经解放。按中毒日期全盘搜索一下硬盘文件,漏网的----杀掉。U盘中的病毒文件---杀掉。

注意:此毒有如下特点:
1、C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\dfjje.exe貌似是个“幽灵”。用IceSword删除该文件后,进程中仍可见dfjje.exe进程,但路径已改为:c:\System Volume Information\。因此,应删除系统还原文件夹中的所有文件。
2、病毒在IE临时文件夹中留下大量病毒文件。抓到系统控制权后,用IceSword删除病毒文件时,不要忘记删除IE临时文件夹中的所有文件。

用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:SREngLOG.rar
下载次数:383
文件类型:application/x-rar-compressed
文件大小:
上传时间:2008-10-15 17:09:45
描述:rar

最后编辑baohe 最后编辑于 2008-10-15 17:29:38
分享到:
gototop
 

回复: 一个值得注意的网马



引用:
原帖由 腾空--Francis 于 2008-10-15 17:24:00 发表
弱弱的问下,冰刃的/c参数是什么意思咧



代/c参数运行IceSword,只有按ctrl-D,才能结束IceSword进程。
gototop
 

回复: 一个值得注意的网马下载器



引用:
原帖由 晕4 于 2008-10-15 18:02:00 发表

wsyscheck和狙剑snipesword能删么?


你自己试吧。
 我未曾用过这两个工具。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT