能力值:
( LV2,RANK:10 )
|
-
-
2 楼
MS用趋势是可以拦截的,我们公司装的就是趋势,下载病毒后就报压缩包里面有病毒然后删除掉
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
其实也过不了我们的驱动防火墙,只是穿了还原卡了
我也想看看这是什么病毒,刚才百度了一下好像没有什么有用的资料
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
1.在system32文件夹下释放六位随机小写字母名的驱动并加载,对DrvAnti.exe安全软件进程进行IFEO劫持,
利用驱动(这驱动又是当时看雪金山逆向大赛的那个结束进程的代码,作者又直接抄了),还原全部SSDT项。
以及创建线程,利用驱动不停地结束这些安全软件进程(好几种方xxx流试,有Ring3级的关闭在csrss.exe中的句柄,到Ring0插APC)
这都是磁碟机的老方法了。
2.判断自身是否是system32\userinit.exe,是则启动explorer.exe。这显然是以前机器狗覆盖userinit.exe时留下的功能。
3.在system32文件夹下释放六位随机小写字母名的dll,并加载调用其导出的函数Init。这个函数的作用只是SetWindowsHookEx创建一个全局钩子,钩子函数地址为NULL,显然只是为了插入其他进程。
4.运行一个IE进程,目的其实就是此进程运行时,dll会插入其中,执行下载功能。
5.在C盘根目录下释放一个_uniep.bat并运行,bat中不断重复删除exe自身的操作,这样使得当此exe进程退出时,文件就会被删除。
被释放的dll,除了Init函数之外,当发现自己位于IE进程中时,将会连网下载病毒。
也就是说,下载者的功能是在插入IE进程的dll里实现的。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
下载学习下!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
高手,学习了!
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
在我跟的时候还发现有个NTSD 的劫持,不知道我理解的是不是正确
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
那是不是开了可以把网吧那驱动防火墙干掉?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
木马名称:Trojan-Spy.Win32.KillAV.b
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\KGHEBZ\KGHEBZ.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
解压时就被钉掉了.
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
我用AVG配合彩影,基本都KO掉~~ 
|
|
|
|
