是否过【360的样本】大家来共同测试

bingrenyg

回复 10楼 dyl210 的帖子

添加了服务项，我觉得是通过这个从网上下东西了，

至于我的为什么没出来就不知道了


后来又试了一下，不解压直接在压缩包里面运行是可以出来窗口的，如果解压就只剩下svchost。exe这一个文件了，错了不是只有一个文件了，是隐藏了。

dyl210

回复 11楼 bingrenyg 的帖子

话说该怎么手工查看服务项。。。360一点反应也没有。。。有点不放心啊

bingrenyg

回复 12楼 dyl210 的帖子

xuetr

mis

本来就不是毒。。。

dyl210

回复 13楼 bingrenyg 的帖子

谢了啊。。。xt服务项上就5个蓝的 其中3个是360的 其他的一个被禁止 一个不存在 应该是没有加上 呵呵

leisong

网盾还提示安全，是否白文件？

bingrenyg

网络人  那个svchost是网络人的控制端

√×√×√√×

囧，个人分析如下：

创建COM对象：
{A4B544A1-438D-4B41-9325-869523E2D6C7}
{3CE74DE4-53D3-4D74-8B83-431B3828BA53}
这俩都是查看和修改属性

写入注册表：
HKCU\Software\ORL\VNCHooks
HKCU\Software\ORL\VNCHooks\Application_Prefs
HKCU\Software\ORL\VNCHooks\Application_Prefs\svchost.exe
这里很明显打算开启系统的VNC服务，估计是打算利用系统自带的VNC程序从而打开远程控制端，其中包含了连接服务器的列表和密码，打开后即可通过服务列表获取到命令控制信息。

安装、启动控制了一个
NetOffice 服务
加载了文件夹下的四个DLL

bingrenyg

回复 18楼 √×√×√√× 的帖子

利用白名单？

√×√×√√×

bingrenyg 发表于 2011-2-22 11:15
回复 18楼 √×√×√√× 的帖子

利用白名单？

囧，也说不上是利用白名单。因为这个服务本身就是系统服务，没啥问题。只是被调用了而已