baohe - 2005-7-11 10:19:00
<br><br><br>近来,各种夹带Rookit的病毒比较流行,且较难查杀。<br>拿到网友提供的一个样本,观察了一下此毒感染系统后的种种表现。现归纳如下,供大家杀毒时参考:<br>————————————————<br>0、这个样本感染系统后,在%system%文件夹中创建citteo.exe和msdirectx.sys两个病毒文件。<br>1、感染系统后,你运行什么程序,Rootkit就插入相应的进程(图1,红色字符显示的进程除citteo为病毒进程外,其它为rootkit插入的应用程序进程)。<br>2、另一个比较麻烦的问题:Rootkit是其它病毒/木马夹带的一个隐身工具。夹带Rootkit的病毒/木马进程名是随即生成的,每感染系统一次,病毒进程名都会变化(图2)。如果没有IceSword这样的工具,较难辨认那个是病毒进程。<br>3、Rootkit感染系统后,即使你运行IceSwoed,IceSword也会被Rootkit插入(图3)。<br>4、用IceSword的“重启并监视”功能发现:重启过程中,Rootkit插入winlogon进程(图4)。<br>5、重启系统后,又多了一样麻烦:病毒又在当前用户文件夹中加入了一个Rootkit(图5)。<br>6、越搞越乱!还是到安全模式下试试用KillBox解决问题吧(图6)。<br>7、用KillBox删除病毒文件citteo.exe后,重启到WINDOWS模式,用IceSword删除残余的那两个Rootkit(%system%中一个,当前用户文件夹中一个)。<br>8、清理注册表:<br>定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<br>删除注册表项:msdirectx;<br>定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;<br>将"Userinit"="userinit.exe,citteo.exe"改为"Userinit"="userinit.exe"。搞定!<br>______________________<br><br>图1
附件: Install Flash Cookie Cleaner.rar (2013-3-16 20:21:55, 1213.86 K)
该附件被下载次数 243
附件:
1558472005711101944.jpg
baohe - 2005-7-11 10:21:00
baohe - 2005-7-11 10:22:00
baohe - 2005-7-11 10:23:00
baohe - 2005-7-11 10:24:00
baohe - 2005-7-11 10:26:00
endurer - 2005-7-11 12:13:00
及时雨...
学习...
greenfrog - 2005-7-11 13:22:00
老大好厉害,收了
CrossVirus - 2005-7-11 15:49:00
baohe可否提供下样本...
baohe - 2005-7-11 15:51:00
| 引用: |
【CrossVirus的贴子】baohe可否提供下样本...
........................... |
样本已经删除
CrossVirus - 2005-7-11 16:04:00
-_-!!
焦头烂额还能保持如此清醒,佩服佩服...
爱u不是两三天 - 2005-7-11 16:31:00
厉害呢~~~~~~佩服~~
№笑傲江湖★ - 2005-7-11 17:00:00
卡巴基斯可以杀~~~~
baohe - 2005-7-11 17:27:00
| 引用: |
【№笑傲江湖★的贴子】卡巴基斯可以杀~~~~
........................... |
问题是:非卡巴司机用户感染这种病毒后,就是现装卡巴司机,也未见得能搞定(看图)。
附件:
1558472005711172753.jpg
baohe - 2005-7-11 17:30:00
天天泡泡 - 2005-7-11 20:38:00
老大啊,昨天在剑盟看到一个,sys文件名称有变化啊,开源性就会造成处理起来的困难。
baohe - 2005-7-11 20:43:00
| 引用: |
【天天泡泡的贴子】老大啊,昨天在剑盟看到一个,sys文件名称有变化啊,开源性就会造成处理起来的困难。
........................... |
sys文件名称有变可以理解。rootkit也不止这一种。黑客个个都是人精,谁会总用一样的手法?
问题是:中招后到处哭喊救命的占99%;能冷静下来提供个样本的——最多1%。
我想玩儿,没人给样本。
大漠飞雕 - 2005-7-11 20:50:00
谢谢,收了!
天天泡泡 - 2005-7-11 20:54:00
| 引用: |
【baohe的贴子】
sys文件名称有变可以理解。rootkit也不止这一种。黑客个个都是人精,谁会总用一样的手法?
问题是:中招后到处哭喊救命的占99%;能冷静下来提供个样本的——最多1%。
我想玩儿,没人给样本。
........................... |
呵呵,这倒是真的,中了这个到处一片哭喊声,想要的东西就是拿不到。
冷雨夜阑 - 2005-7-12 1:04:00
| 引用: |
【只铁的贴子】 楼主你用的啥软件呀。怪洋了。没见过。
........................... |
............................................那里有墙 别拦我了
流星寂寞 - 2005-7-12 5:09:00
现在收了.
我记得前久我中的好像就是这病毒,一个网友QQ发过来的程序,说是什么对你有用的软件还是什么的,用3721清理不了,后来装了电脑报附送的卡巴斯基,结果那卡巴斯基软件把我的N多程序给锁了,而且卡巴斯基拒绝删除,我晕.搞到现在我都不敢装卡巴斯基了,就用的瑞星和3721网助.效果都不太理想,这不又中毒了,求组中。
看了新贴,我想我每月又多了的事就是打系统补丁了。
我在学习中
8897603 - 2005-7-12 8:49:00
怎麽瑞星杀不了?强列建议将该毒列入病毒库!
baohe - 2005-7-12 8:54:00
| 引用: |
【8897603的贴子】怎麽瑞星杀不了?强列建议将该毒列入病毒库!
........................... |
不是杀软杀得了杀不了的问题。你看看我在15-16楼贴的两张图就明白了。
雨燕飞 - 2005-7-12 9:32:00
多谢BAOHE。真是,“下载了N个包”还能如此清醒:)
有毒不除非丈夫 - 2005-7-12 11:08:00
不是不想冷静下来提供个样本的,而是根本就不知道怎么做!没有多少人像你们这样是专业高手的!说实话,你上面写的我知道有用,但是就是看不懂啊!我前天中招,也是Rootkit,全称是Trojan.Rootkit.k,它在system32里面创建了rdriv.sys文件,至于你说的类似.exe的文件我就不知道是哪一个了。你的那些分析我不知道怎么去找,我就说一下中招的表现吧!瑞星不停的提示杀毒成功(删除成功,文件rdriv.sys,病毒名Trojan.Rootkit.k);启动什么软件就提示里面的某一文件被破坏,像QQ、AutoCAD等;打开文件的时候一点下拉箭头该软件就死了;这时候任务管理器失效,打开多少就在右下角出现多少框框;一开始热启动还有用,现在不但不能热启动,就连关机也不行了,只能冷启和强制关机,而且重启它会来两次!!!各位哥哥姐姐叔叔阿姨,请你们帮忙救救命吧!!!
Handsome_001 - 2005-7-12 17:14:00
我的win98系统运行了mss.exe
没找到citteo.exe,
Handsome_001 - 2005-7-12 17:17:00
不喜病毒者不要下载baohe的附件。
因为那是个病毒!!!!!!
附件:
2058692005712172603.jpg
© 2000 - 2026 Rising Corp. Ltd.