-
-
修理一下挂马的
-
发表于:
2009-9-29 19:04
10212
-
最近上网连续2次中招,都是攻击IE6过来的。
加载驱动pci.sys,允许访问\device\PhysicalMemory,允许Ring3访问端口。
Ring3代码会模拟按键(直接写键盘端口)来试图关闭杀软及360。然后盗取QQ帐号,当然免不了下载一堆垃圾。这里的细节没仔细看,似乎是画个假的登录窗口骗取帐号.
对QQ有版本判断,最新的QQ2009 SP4不支持。360的顽固木马清除工具可以干掉这个木马。
写了段程序模拟其发送窃取数据的过程,3个网址都可以发送,可以用假数据来修理一下这烂人哈哈。不过这么做可能有风险.
可能没看全.记得还有段算md5的,忘了。360的工具清除这木马时报了个名字,不过我忘了。
附件给了源码,其他的是木马的文件,发送代码在top.dll.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课