超级强悍的病毒？？怎么解决？

显示全部楼层 · 发表于 2008-10-7 14:11:15

今天看到一种新病毒利用方式。。。特别BT，，不知道怎么解决，，高手出来。。。

利用线程注射DLL到系统进程，解除DLL映射，并删除自身DLL和EXE文件，删除自身创建的服务，仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项，磁盘文件或者是进程空间里的不明DLL。关机时，该程序会截获关机的调用，在系统关闭之前恢复自己。缺点是不正常重启之后后门消失.....

显示全部楼层 · 发表于 2008-10-7 14:20:07

显示全部楼层 · 发表于 2008-10-7 17:34:30

肯定存在的！
注入的进程估计是你没有找出来，请看下system winlogin等关键进程。期待样本！

显示全部楼层 · 发表于 2008-10-7 17:47:31

期待样本，要解决不是太容易了，直接拔电源好了。。。

显示全部楼层 · 发表于 2008-10-7 17:54:43

对他说
日~~~

显示全部楼层 · 发表于 2008-10-7 21:08:17

原帖由 xndd 于 2008-10-7 17:34 发表
肯定存在的！
注入的进程估计是你没有找出来，请看下system winlogin等关键进程。期待样本！

估计你没有看明白，病毒注入内存后，运行在内存，然后删除掉所有自身文件，，当关机的时候截取系统关机指令，然后再生成文件，，下次启动后继续循环。。。
这样就达到没有任何进程，也没有任何DLL加载在EXE下面，，，也没有任何服务，或驱动。。。太BT了，，，

显示全部楼层 · 发表于 2008-10-7 21:16:21

到目前为止，还真没碰到这样牛逼的病毒
楼主有试过用一些内存杀查杀的工具了吗？

显示全部楼层 · 发表于 2008-10-7 21:50:20

最好能发个样本上来看看

显示全部楼层 · 发表于 2008-10-7 21:54:59

HIPS 可截获

显示全部楼层 · 发表于 2008-10-8 08:25:14

原帖由余乐于 2008-10-7 21:08 发表

估计你没有看明白，病毒注入内存后，运行在内存，然后删除掉所有自身文件，，当关机的时候截取系统关机指令，然后再生成文件，，下次启动后继续循环。。。
这样就达到没有任何进程，也没有任何DLL加载在EXE下面 ...

你自己也说了，运行在内存，呵呵，离开进程，它可以存活吗，只是你没有找出它依附在哪个进程里，win操作系统下，任何在内存中活动的东西，都是以这两种形式出现的啦~
请用冰刃一个一个的找，谢谢。

超级强悍的病毒？？怎么解决？

期待样本

评分

回复 1楼余乐的帖子

超级强悍的病毒？？怎么解决？

期待样本

评分

回复 1楼 余乐 的帖子

回复 1楼余乐的帖子