与一个“三无”后门过招 bbs.ikaka.com

baohe - 2006-1-13 21:29:00

引用:

【CAJINCHEN的贴子】各家反应情况如何?
...........................

别家不知道.

反正卡巴昨天的标准病毒库不报.

猎鹰渔民 - 2006-1-13 23:43:00

挺有趣的,跟baohe讨个样本~谢谢
ilif01@yahoo.com.cn

hasuoluohan - 2006-1-14 8:59:00

狭路相逢，闪电出击，一招制敌，应该决不手软才是。

飘柔 - 2006-1-14 9:14:00

嘿，baohe，这个TINY的好处就是这套监控好

前天碰了怪事儿，我安装一款大概叫半仙的软件（内含百度搜霸和中文上网会不提示强制安装），差不多完成时总是重启动，开机发现什么都没装入晕菜了:-)

重装重试搞了三次，仍旧装不进，晕死了哦！难道成了免疫机器？

嚣张是我本姓 - 2006-1-14 13:12:00

学习了

niumengls - 2006-1-14 13:41:00

学习了！！

raistlin - 2006-1-14 14:20:00

好象和鸽子差不多啊，一样是个三无~~~

baohe - 2006-1-14 14:26:00

【回复“raistlin”的帖子】
与鸽子不同。
鸽子的三无不是真正的三无，而是隐藏了。
这个后门是在运行、插入系统进程后删除自身文件与注册表项，关机前，再将木马文件和注册表项写入系统，随后关机。下次开机时，木马加载运行并插入系统进程后，再次删除自身及注册表项。
总之，受感染的系统进入WINDOWS模式后，木马的文件与注册表项不存在于硬盘中，而不是被隐藏了。

raistlin - 2006-1-14 14:36:00

【回复“baohe”的帖子】
谢谢baohe热心指点，学到了很多！
现在的技术啊....
感觉很冷....

juvenile27 - 2006-1-14 15:37:00

现在也只能凑合着用GHOST来恢复系统了
象斑竹这样真是艺高人胆大的说

mmtt - 2006-1-14 21:14:00

啊,,,,学习一下,,支持支持

baohe - 2006-1-15 17:19:00

卡巴斯基今天最新病毒库扫byshell067——报Backdoor.Win32.Byshell.a；而扫byshell063——什么也不报！！
汗！！

魔法学徒 - 2006-1-15 23:40:00

又学一招……

玉面修罗 - 2006-1-16 2:04:00

...这个病毒作者脑袋真灵光
以前没碰到过这样的病毒
学了不少知识

影子110 - 2006-1-16 18:01:00

这个后门，它把自身文件和注册表项都删除了，，那它通过什么文件来在准备关机的时候重新把病毒文件加载上去呢？（它肯定有在哪里备份了）

baohe - 2006-1-16 19:36:00

引用:

【影子110的贴子】这个后门，它把自身文件和注册表项都删除了，，那它通过什么文件来在准备关机的时候重新把病毒文件加载上去呢？（它肯定有在哪里备份了）
...........................

它活在spoolsv.exe进程中。

影子110 - 2006-1-18 18:41:00

那，是否可以把这个它注入的进程结束呢~~？（结束后，这个病毒不就连最后的藏身之处也没有了吗？，还是一般它所注入的都是不容易结束的，或是不能结束的进程~~）
不过，这所有的一切也都要你能先发现它，并且能知道它所注入的进程是哪个，那也许事情会好处理点，是吗？

baohe - 2006-1-18 18:47:00

引用:

【影子110的贴子】那，是否可以把这个它注入的进程结束呢~~？（结束后，这个病毒不就连最后的藏身之处也没有了吗？，还是一般它所注入的都是不容易结束的，或是不能结束的进程~~）
不过，这所有的一切也都要你能先发现它，并且能知道它所注入的进程是哪个，那也许事情会好处理点，是吗？
...........................

是的。如果顺利结束了这个木马插入的进程，它就死翘翘了。
问题是——有多少中招者会及时发现这个木马插入的进程？
Byshell067比这个063还厉害，除了插N个系统关键进程外，还动态插入应用程序进程。

中国注册会计师 - 2006-1-18 22:04:00

引用:

【天山雪狐的贴子】没办法，俺们这样的笨人对付比较厉害的马，只有用笨办法：
一拔网线，二关电源，重开机进入DOS或安全模式查杀。
...........................

晕!笑!看来你也很厉害!

瑞星卡卡安全论坛