此毒好阴损!!!(最好高手来分析下此毒的动作) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛此毒好阴损!!!(最好高手来分析下此毒的动作)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 12:31 \| 显示全部短消息资料字号：小中大 1楼此毒好阴损!!!(最好高手来分析下此毒的动作) 调用服务管理器(services进程) 在注册表中创建服务项目指向它释放的DLL文件而且该DLL注入了多个系统进程瑞星都没反应主要是注入svchost中然后挂钩子盗取资料(其它进程也注了例如explorer）我木马编辑器还是编了防注入的都被它注进去了老子无语了......... 各位来看看附件: ms.rar (2009-2-4 12:48:56, 62.59 K) 该附件被下载次数 562 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ) SpeW 最后编辑于 2009-02-04 13:26:04
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	分享到：

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 12:49 \| 显示全部短消息资料字号：小中大 2楼回复: 此毒好阴损!!! 绝对的病毒我测了半天的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 13:38 \| 显示全部短消息资料字号：小中大 3楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 杂子没人帮分析下高手都哪去了?
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 13:50 \| 显示全部短消息资料字号：小中大 4楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 那个DLL文件是随机名不固定的而且是调用services进程在注册表添加服务项的一般人看了是系统进程很容易就放过的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 13:52 \| 显示全部短消息资料字号：小中大 5楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 newcenturymoon 于 2009-2-4 13:49:00 发表 Backdoor.Win32.PcClient 后门病毒能否说一下它有哪些动作由于是调用services改的注册表我编规则对它都没用因为不是它添加的服务
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 13:53 \| 显示全部短消息资料字号：小中大 6楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 而且编辑器似乎不能监控创建注册表项只能监控改动
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 13:55 \| 显示全部短消息资料字号：小中大 7楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 backway 于 2009-2-4 13:52:00 发表要分析动作的话用HIPS一步一步放行就知道了那么简单就好了我已经说了它的DLL注入了系统进程瑞星没反应所以光看HIPS拦的不够
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:02 \| 显示全部短消息资料字号：小中大 8楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 13:59:00 发表一般来说不容易有人能将这病毒的进行反汇编告诉你它要做的详细事的至少我不会估计会的人也没时间详细反汇编出来告诉你我只是想知道这DLL 怎么注入进去了瑞星还没反应的系统进程保护摆着看的.......... 卡卡进程管理还都是安全进程
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:21 \| 显示全部短消息资料字号：小中大 9楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 那么从这里看出来编辑注册表规则对它没有效果而且我编了一条防注入svchost 但它还是注入进去了不理解中............... 团队给条漂亮的规则把它搞死
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:22 \| 显示全部短消息资料字号：小中大 10楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) C:\windows\system32\00053d8a.ini（随机名）这个是固定名字不是随机的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT