cathy123 - 2005-8-2 3:48:00
半夜失眠,上网游逛,找到一个精致的木马,文件大小41K。这只木马的隐蔽性相当好,感染系统后,进程列表以及HijackThis日志中都看不到异常。
以下是用TPF监测到的系统感染过程:
Access:Create file
Object:C:\WINDOWS\system32\Yusapxzf.d1l——创建病毒文件
附件:
54825220058234812.jpg
cathy123 - 2005-8-2 3:49:00
Access:Create file
Object:C:\WINDOWS\system32\drivers\Yusapxzf.sys——创建病毒文件
附件:
54825220058234913.jpg
cathy123 - 2005-8-2 3:50:00
Access:Injecting code into other processes——将代码注入其它进程中
附件:
54825220058235011.jpg
cathy123 - 2005-8-2 3:50:00
Access:Injecting code into other processes——将代码注入其它进程中
附件:
54825220058235035.jpg
cathy123 - 2005-8-2 3:50:00
Access:Injecting code into other processes——将代码注入其它进程中
附件:
54825220058235054.jpg
cathy123 - 2005-8-2 3:51:00
无注册表改动。看样子是靠那个.sys文件实现启动加载。
附件:
54825220058235157.jpg
cathy123 - 2005-8-2 3:53:00
查杀比较容易。在IceSword的设置中选上“禁止进程创建”,直接删除那两个病毒文件就行了。
hellokiddy - 2005-8-2 8:03:00
顶下.
看来MM也有研究病毒木马的嗜好啊
© 2000 - 2026 Rising Corp. Ltd.