[求助]新病毒样本奉上-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
jljzjybust 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	jljzjybust 2 楼 MS用趋势是可以拦截的,我们公司装的就是趋势,下载病毒后就报压缩包里面有病毒然后删除掉 2008-10-30 10:11 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 3 楼其实也过不了我们的驱动防火墙，只是穿了还原卡了我也想看看这是什么病毒，刚才百度了一下好像没有什么有用的资料 2008-10-30 10:13 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 4 楼 1.在system32文件夹下释放六位随机小写字母名的驱动并加载，对DrvAnti.exe安全软件进程进行IFEO劫持，利用驱动（这驱动又是当时看雪金山逆向大赛的那个结束进程的代码，作者又直接抄了），还原全部SSDT项。以及创建线程，利用驱动不停地结束这些安全软件进程（好几种方xxx流试，有Ring3级的关闭在csrss.exe中的句柄，到Ring0插APC）这都是磁碟机的老方法了。 2.判断自身是否是system32\userinit.exe，是则启动explorer.exe。这显然是以前机器狗覆盖userinit.exe时留下的功能。 3.在system32文件夹下释放六位随机小写字母名的dll，并加载调用其导出的函数Init。这个函数的作用只是SetWindowsHookEx创建一个全局钩子，钩子函数地址为NULL，显然只是为了插入其他进程。 4.运行一个IE进程，目的其实就是此进程运行时，dll会插入其中，执行下载功能。 5.在C盘根目录下释放一个_uniep.bat并运行，bat中不断重复删除exe自身的操作，这样使得当此exe进程退出时，文件就会被删除。被释放的dll，除了Init函数之外，当发现自己位于IE进程中时，将会连网下载病毒。也就是说，下载者的功能是在插入IE进程的dll里实现的。 2008-10-30 10:30 0
woko 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	woko 5 楼下载学习下！ 2008-10-30 10:35 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 6 楼高手，学习了！ 2008-10-30 10:48 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 7 楼在我跟的时候还发现有个NTSD 的劫持，不知道我理解的是不是正确 2008-10-30 10:49 0
babywoshe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	babywoshe 8 楼那是不是开了可以把网吧那驱动防火墙干掉？ 2008-11-1 09:17 0
Pan88168 雪币： 463 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 9 楼木马名称:Trojan-Spy.Win32.KillAV.b 程序: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\KGHEBZ\KGHEBZ.EXE 是木马程序! 已成功阻止其运行,是否要删除此文件? 解压时就被钉掉了. 2008-11-1 14:08 0
七狼的烟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	七狼的烟 10 楼我用AVG配合彩影,基本都KO掉~~ 2008-11-4 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
jljzjybust 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	jljzjybust 2 楼 MS用趋势是可以拦截的,我们公司装的就是趋势,下载病毒后就报压缩包里面有病毒然后删除掉 2008-10-30 10:11 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 3 楼其实也过不了我们的驱动防火墙，只是穿了还原卡了我也想看看这是什么病毒，刚才百度了一下好像没有什么有用的资料 2008-10-30 10:13 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 4 楼 1.在system32文件夹下释放六位随机小写字母名的驱动并加载，对DrvAnti.exe安全软件进程进行IFEO劫持，利用驱动（这驱动又是当时看雪金山逆向大赛的那个结束进程的代码，作者又直接抄了），还原全部SSDT项。以及创建线程，利用驱动不停地结束这些安全软件进程（好几种方xxx流试，有Ring3级的关闭在csrss.exe中的句柄，到Ring0插APC）这都是磁碟机的老方法了。 2.判断自身是否是system32\userinit.exe，是则启动explorer.exe。这显然是以前机器狗覆盖userinit.exe时留下的功能。 3.在system32文件夹下释放六位随机小写字母名的dll，并加载调用其导出的函数Init。这个函数的作用只是SetWindowsHookEx创建一个全局钩子，钩子函数地址为NULL，显然只是为了插入其他进程。 4.运行一个IE进程，目的其实就是此进程运行时，dll会插入其中，执行下载功能。 5.在C盘根目录下释放一个_uniep.bat并运行，bat中不断重复删除exe自身的操作，这样使得当此exe进程退出时，文件就会被删除。被释放的dll，除了Init函数之外，当发现自己位于IE进程中时，将会连网下载病毒。也就是说，下载者的功能是在插入IE进程的dll里实现的。 2008-10-30 10:30 0
woko 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	woko 5 楼下载学习下！ 2008-10-30 10:35 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 6 楼高手，学习了！ 2008-10-30 10:48 0
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 7 楼在我跟的时候还发现有个NTSD 的劫持，不知道我理解的是不是正确 2008-10-30 10:49 0
babywoshe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	babywoshe 8 楼那是不是开了可以把网吧那驱动防火墙干掉？ 2008-11-1 09:17 0
Pan88168 雪币： 463 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 9 楼木马名称:Trojan-Spy.Win32.KillAV.b 程序: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\KGHEBZ\KGHEBZ.EXE 是木马程序! 已成功阻止其运行,是否要删除此文件? 解压时就被钉掉了. 2008-11-1 14:08 0
七狼的烟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	七狼的烟 10 楼我用AVG配合彩影,基本都KO掉~~ 2008-11-4 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]新病毒样本奉上 0.00雪花