注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

欣宏胜科技,苏州赛格数码广场,苏州电脑城

组装电脑|IT外包|电脑维修|办公耗材|网络工程|门禁监控|综合布线|网站建设

 
 
 

日志

 
 

(续上)  

2008-05-14 16:37:02|  分类: 影音数码 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
6.映像劫持几乎上面所有安全软件指向“ntsd -d”   
7.启动IE进行下载工作,首先会读取ht tp://xtx.×××.info/images/xin.txt比较
里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能
8.之后继续读取下面的下载信息 下载木马
目前下载的病毒地址为
程序代码
ht tp://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exeht tp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
病毒木马植入完毕后的sreng日志如下(本例中均假设系统装在C盘下)
启动项目
注册表
程序代码
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
    <upxdnd><C:\WINDOWS\upxdnd.exe> []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe> []
    <PTSShell><C:\WINDOWS\PTSShell.exe> []
    <SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
    <><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
    <><C:\WINDOWS\Fonts\gjcsdyc.dll> []
    <><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
    <><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驱动程序
程序代码
[ATI2HDDSRV / ATI2HDDSRV]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye]
<system32\drivers\msaclue.sys><N/A>
==================================
正在运行的进程
程序代码
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] 
    [C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
    [C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
    [C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
    [C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
    [C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
    [C:\WINDOWS\wlqirtuk.dll] [N/A, ]
    [C:\WINDOWS\dcadmqws.dll] [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
  [C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
    [C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
    [C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...
补充:netguy_updatefile.exe   在启动项里添加netguy_updatefile.exe程序,开机下病毒
机器狗木马病毒介绍:
    机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一
    系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。
机器狗病毒的判断方法:
    方法1:打开C:\WINDOWS\system32文件夹 (或打开系统对应目录),找到userinit.exe、explorer.exe点击右键查看文件的属性,若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。
    方法2:双击瑞星杀毒软件的快捷方式,以及卡卡上网安全助手的快捷方式,没有任何反应(不是窗口打开后迅速关闭或报错崩溃)。
  评论这张
 
阅读(33)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017