关于近期1.exe的木马群病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于近期1.exe的木马群病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 关于近期1.exe的木马群病毒

本主题由版主天月来了于 2009-8-17 18:31:34 执行关闭主题/取消操作

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-02 10:52 \| 显示全部短消息资料字号：小中大 1楼关于近期1.exe的木马群病毒调用RUNDLL32创建进程源头在taskkill.exe comres.dll 1.jpg (106.90 K) 2009-5-2 10:51:59 释放喽啰，最后留下一个守护的（没截图) 2.jpg (136.79 K) 2009-5-2 10:51:59 3.jpg (71.02 K) 2009-5-2 10:51:59 4.jpg (138.56 K) 2009-5-2 10:51:59 [attachimg]515282[/attachimg][attachimg]515282[/attachimg] 6.jpg (207.96 K) 2009-5-2 10:51:59 7.jpg (166.34 K) 2009-5-2 10:51:59 8.jpg (116.04 K) 2009-5-2 10:51:59 9.jpg (100.62 K) 2009-5-2 10:51:59 [attachimg]515287[/attachimg][attachimg]515287[/attachimg] smallyou93发表为了方便看，弄到了楼顶先加载%SystemRoot%\aboy.dll 释放驱动并安装 %SystemRoot%\system32\drivers\pcidump.sys 调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件 Windows XP Professional-2009-05-04-18-56-13.png (67.95 K) 2009-5-4 19:05:35 SRENG反而没被感染，倒是俺的ED等删除工具被感染（打包见VIRUS.ZIP）总之清除难度很大 COMRES.dll被替换 aboy.dll含有RPC攻击！局域网没打补丁的话就爆发了 QQ目录下有东西生成非系统盘有QQfish木马 2.jpg (89.34 K) 2009-5-17 21:40:50 手动清除建议下载正常版本的COMRES.dll 删除aboy.dll 删除AUTORUN.inf 删除HOSTS的文件内容 DOS下删除病毒文件用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Embedded Web Browser from: http://bsalsa.com/; InfoPath.1; .NET CLR 2.0.50727) 本帖被评分 1 次本帖被评分 1 次夲號ヱ被ジ盜最后编辑于 2009-05-17 21:40:50
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	分享到：

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-04 19:41 \| 显示全部短消息资料字号：小中大 2楼回复：刚才天月给的木马群样本多谢添加下载的样本你也弄来了全盗号木马（Trojan.OnlineGameTheif) 我测试时发现总共创建了35个进程。。。。真的写入我用PRESS EXPLORER忘了看加载的DLL了夲號ヱ被ジ盜最后编辑于 2009-05-04 19:42:35
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-05 12:08 \| 显示全部短消息资料字号：小中大 3楼回复: 关于近期1.exe的木马群病毒（刚才天月给的木马群样本）杀法昨天直接实机运行了没事今天再来一遍一、在1.exe那点右键-结束进程树 1.JPG (262.71 K) 2009-5-5 12:07:44 二、根据SRENG日志导入文件 3.JPG (135.65 K) 2009-5-5 12:07:44 （这是注意的地方！！！删除后重启会变成这样） 4.JPG (206.17 K) 2009-5-5 12:07:44 QQ目录的文件全删除！！！！我只发现一个文件 6.JPG (226.60 K) 2009-5-5 12:07:44 下一步：替换explorer 删除aboy.dll 替换comres.dll 这样就KO了附件: 文件名:导入文件.txt 下载次数:286 文件类型:text/plain 文件大小: 上传时间:2009-5-5 12:07:44 描述:txt 附件: 文件名:杀前.log 下载次数:301 文件类型:application/octet-stream 文件大小: 上传时间:2009-5-5 12:07:44 描述:log 附件: 文件名:杀后.log 下载次数:320 文件类型:application/octet-stream 文件大小: 上传时间:2009-5-5 12:07:44 描述:log 附件: 文件名:样本.rar 下载次数:488 文件类型:application/octet-stream 文件大小: 上传时间:2009-5-5 12:07:44 描述:rar
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-09 09:43 \| 显示全部短消息资料字号：小中大 4楼回复: 关于近期1.exe的木马群病毒引用: 原帖由文物2 于 2009-5-9 9:28:00 发表我看到了这篇帖子，有了很多的困惑。 %SystemRoot%\aboy.dll这样能运行？%SystemRoot%\system32\aboy.dll这样呢？对于我，首先，CA 这个工具没安装成功呵。网上常见的E盾又时好时坏。有时基本没作用。这里肯求传播安全工具的大侠们照顾我们 %SystemRoot%\system32\aboy.dll直接由进程加载具体有个日志
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-05-14 21:49 \| 显示全部短消息资料字号：小中大 5楼回复: 关于近期1.exe的木马群病毒引用: 原帖由 MICHAEL163 于 2009-5-9 13:54:00 发表好烦的病毒！！所有瑞星监控和防火墙被强行关闭，无法手动开启！！瑞星被杀掉了，有没有简单一点的解决方案啊！源头在taskkill.exe comres.dll 可能还有2个驱动在
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT