1   1  /  1  页   跳转

[原创] 还是IPZ。EXE

还是IPZ。EXE

局域网毒?OR攻击路由器?这个毒是9月24日才出现的吗?

附件: system32.rar (2010-10-15 12:39:29, 306.50 K)
该附件被下载次数 1112

最后编辑夏天风1 最后编辑于 2010-10-15 12:40:01
分享到:
gototop
 

回复: 还是IPZ。EXE



引用:
原帖由 大头23 于 2010-10-15 13:34:00 发表
有什么现象吗?楼主上传的压缩包文件报毒,瑞星是可以清除的。



是的,第一次是可以清除,可第二次中了后就清除不了的,可能是破坏了病毒库?还是什么原因?

在局域中中了此毒后,会造成内网PING通,且不掉包,很正常的样子,可是PING外网和路由就会不正常,
现象是PING四次正常,一次时延很大,很有规律的样子,如果多台机子中了此毒,那就会造成全网掉包。
拨了外网连线后,内网又是很正常的,插上外网后,前一分钟很正常,时间越久,掉包越严重。这个毒查
到是win32.Troj.Generic 并在服务里开启智能P2P僵尸主机,注册表里是:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPZ]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPZ]
也有
键值如下:
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ\0000]
"Service"="IPZ"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Intelligent P2P Zombie"

这个是加了双壳的UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
如果本机手工删了后,在内网有这毒的话,还是会自动传过来的,可能是用了4489远控端口,
现在就是想看看瑞星有没有这专杀工具,能否全内网断线杀了后,再联网,可不可行?
gototop
 

回复: 还是IPZ。EXE



引用:
原帖由 networkedition 于 2010-10-15 14:07:00 发表
局域网环境建议客户端设置强密码,关闭默认共享(如不用共享),客户端操作系统打全系统补丁等,lz方法可以尝试使用。


以上方法在我们这都不太可能实现,部门不一样,不是单机或网吧。强密码不能用,使用人对机算机了解不一样。共享肯定要用,补丁打全了。U盘也是不能封的。

不管如何,还是谢了大版主。

主要是想看看这个程序是作者在9月24日做出来的,如果瑞星能做出个专杀,当然更好,如果不能,那除了上述方法,还有没有别的路可走?几百台机子,不在同一地方,有的相隔一百多公里。主要是不能重装系统
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT