首页
社区
课程
招聘
修理一下挂马的
发表于: 2009-9-29 19:04 10211

修理一下挂马的

2009-9-29 19:04
10211

最近上网连续2次中招,都是攻击IE6过来的。

加载驱动pci.sys,允许访问\device\PhysicalMemory,允许Ring3访问端口。

Ring3代码会模拟按键(直接写键盘端口)来试图关闭杀软及360。然后盗取QQ帐号,当然免不了下载一堆垃圾。这里的细节没仔细看,似乎是画个假的登录窗口骗取帐号.

对QQ有版本判断,最新的QQ2009 SP4不支持。360的顽固木马清除工具可以干掉这个木马。

写了段程序模拟其发送窃取数据的过程,3个网址都可以发送,可以用假数据来修理一下这烂人哈哈。不过这么做可能有风险.

可能没看全.记得还有段算md5的,忘了。360的工具清除这木马时报了个名字,不过我忘了。

附件给了源码,其他的是木马的文件,发送代码在top.dll.


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
2
模拟按键(直接写键盘端口)

===
能支持USB键盘?
2009-9-29 19:06
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
3
不知道呵呵。看它写64端口,我的kav没置口令给关了
2009-9-29 19:08
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
4
居然要驱动弄驱动来模拟,太坏了~

不明真相的小学生飘过
2009-9-29 19:20
0
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
5
softworm最近在研究恶搞啊
2009-9-29 20:04
0
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
这年头还用IE6实属勇夫啊。
2009-9-29 20:36
0
雪    币: 347
活跃值: (30)
能力值: ( LV9,RANK:420 )
在线值:
发帖
回帖
粉丝
7
仅仅为了膜拜而来
2009-9-30 16:39
0
雪    币: 299
活跃值: (25)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
8
要上黄站的话,还是用虚拟机比较保险!!!!
2009-9-30 17:32
0
雪    币: 622
活跃值: (65)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
9
学习。。。。。。
2009-9-30 17:33
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
10
我**。。。
2009-9-30 20:36
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这个不怎么懂
2009-9-30 20:47
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
搞不出頭緒來....
2009-9-30 21:03
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
用IE6的飘过~
顺路膜拜softworm大牛的病毒分析~
2009-9-30 22:50
0
雪    币: 213
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
哇哈哈  牛人那
2009-9-30 22:58
0
游客
登录 | 注册 方可回帖
返回
//