瑞星卡卡安全论坛

软件作者的介绍
1.收信方式, 可任意选择"网站收信"或"邮箱收信", 也可以同时使用两种方式..
2.网站收信, 上传login.asp即可, 默认记录到同路径的xr.txt, 可自行修改..
3.邮箱收信, 收信邮箱和发信邮箱最好填相同的, 否则, 收信可能会稍有延迟..
4.支持各种版本的QQ, 包括2005 Beta3, 并且, 无论怎样输入, 都能准确截获..
5.采用特殊的线程插入技术, 无启动项, 无进程, 突破防火墙, 而且难以清除..
6.最后, 祝大家玩的愉快, good luck!!
                                            极限居QQ盗 于 2005-11-1


听起来似乎很吓人
真的难清除麽??我们较量一下………
我们先来看看它的界面


附件: 2021632006226201446.jpg

随便配置个来看看……


附件: 2021632006226201535.jpg

我们来运行一下…..
运行之后………..


附件: 2021632006226201626.jpg

没有什么可疑进程………为了节省篇章,我没列出运行前的,不过没有增加.(口头搭够)
真的那么厉害?我们拿出之前灰鸽子遇见就怕的icesword看看…


附件: 2021632006226201730.jpg

Icesword的扫描附件也是一无所获(现实大于20%)


附件: 2021632006226201811.jpg

我们也用我们常用的hijackthis来看看………


附件: 2021632006226201857.jpg

还是一无所获(ps:最后一项service 是正常的)
那么就奇怪了,究竟是程序没有运行,还是它真的那么厉害?
天网2.8beta的进程保护日志,也没有收获……
怪了….究竟哪里去了???
现在是演示,之前我跟病毒较量的时候,来到这个地步,我开始感觉到无计可施了…可以说江朗才尽..
可是就在这个紧急关头,我找到了遗忘已久的经典程序….给我带来了希望的曙光
(观众:怎么这家伙这么多废话)
好了,不废话,让我们的主角出场….


附件: 2021632006226201945.jpg

主角出场,就是不同……哈哈…….看看第一项…..就是这个木马了.
当然,如果我是刚刚接触的话,我未必肯定…但是我之前分析过一下这个程序….


附件: 2021632006226202034.jpg

接下去呢？

当然..这个图,新手看不懂不要紧….不需要掌握……我们只要留意一下图中最关键的字眼 : Ms_Info.Obj
我们来到 C:\Program Files\Common Files\Microsoft Shared\MSINFO 这个目录
咦?怎么没有Ms_Info.Obj这个文件?? 难道会飞? 别急..我们设置一下文件夹选项


附件: 2021632006226202114.jpg

哈哈……这不就乖乖地出来了呵….


附件: 2021632006226202154.jpg

下一步就是清除了..
既然知道了病毒文件的地理位置,清除,就简单多了
当时我没找到病毒的地方,真的很痛苦….
真是非常惨….又懒得重装,没多久才重装过…重装后,又要配置一大堆东西,一个字 : 烦
差点就下定决心以后不上qq了….
(观众们 : 这垃圾有没有搞错吖….哪来这么多废话!!! 快拿鸡蛋)
对不起哦…发发牢骚…继续
既然来到这个地步,我们当然用killbox 啦…..


对不起,请等我发完再发言

附件: 2021632006226202322.jpg

注意,重启后删除和右边 删除文件时,结束explorer外壳
因为这个文件插入了大部分进程,不过可能权限问题或者什么,有些系统进程插不进去……
由于篇章关系,我不发文件插入的进程的图了.(有点拗口,我的语文没试过及格,呵呵)
有兴趣的,可以用icesword右键点击进程,然后按模块进去看看.我就不演示了
That’s why要重启后删除
搞定后,按下红色的× 弹出重启后删除,按”是” 然后问伱是否立即重启..
如果伱还有东西没做,那么先做了,程序不用理会..也最好不要关闭
等到做完后,按下”是”…然后程序会自动检查注册表键值.. 然后会重启..
重启后….


附件: 2021632006226202411.jpg

看到了吧….我们安全了…

于是我们总结出经验..遇到这个,我们按 killbox 输入路径 C:\Program Files\Common Files\Microsoft Shared\MSINFO\Ms_Info.Obj  然后重启后删除….就搞定了…很轻松吧??
(观众们 : 这句早说就是了.害得我们看那么大堆,一头雾水.这家伙,有没有搞错啊..废话多多)
我可爱的观众们啊…我写上面的,是想让你们以后少走弯路,直接走向光明之路…
好了..来到尾声部分了…
(观众们 : 啊?还没完啊? 大哥,伱有完没完吖???)
这个嘛..由于病毒走向更加隐秘的方向,一般的进程管理器已经准备可以扔到垃圾桶去了.
可是我们又未必可以说,整天去看着有没有可疑的东西吧?
所以这个尾声部分是为菜鸟们,不用那么繁琐,整天看着监视软件而写的, 看不看..你们选择咯.
我的思路是利用防火墙,过滤掉本机向外网25端口的连接…
其实可以用系统的ip策略,不过由于设置麻烦,需要大幅篇章….照顾到广大近视的观众们..
我用天网来做  打开天网的主界面


附件: 2021632006226202514.jpg

还有呢？

按着图中的填写和勾选


附件: 2021632006226202628.jpg

配置成功后,我们会看到下面一图
增加了一条规则,默认是执行的…但是这个对于我们用foxmail 或 ol 或者dreammail 之类的邮件发送软件有一定的影响…因为它禁止了发信…
(一般smtp邮件服务器是25端口 smtp是邮件发送协议)
所以当我们发送邮件的时候,我们把红色圈住的那个勾去掉..(别忘记了,到时找我晦气哦)


附件: 2021632006226202743.jpg

好了….真的结束了…
我暂时只能找到这个方法,防止程序发送邮件…不过一定程度影响了我们的工作
还有的就是,这种方法只能杜绝邮件,这个木马还有asp收信设置..
这个,我想只有找发信的关键字,然后用防火墙之类的过滤掉发信包…
不过还没找到更加简便的方法
但是大家不用太害怕…盗q的,一般也是菜鸟阶层,他们不太懂得asp…所以暂时没有太大危害
若果有朋友有更好的方法,不妨告诉我一下….我洗耳恭听…
(观众们 : 这家伙的老爸是不是废话大王啊? 结束了还那么多废话)
对不起哦.各位老大…经验交流嘛…

小弟无所求,只想大家顶上去…版主觉得稍微好的话,谢您高抬贵手,加个精吧..谢谢
不知不觉……写了一个半钟头……晕.还没做作业

终于发完了..
发帖从20:14:46到20:28:51
历时14:05
累......希望大家多多捧场

兄弟。我顶你 1年难得一见的帖
不但指明了方法。还教学了一番
以后遇见类似的也轻松多了

多谢捧场....以后我会多努力的..

不过先要做作业.不然明天老师的脸色有如天上乌云....
天网恢恢....我肯定被那些规则拦截了......

呵呵.....又跟软件连起来了....晕

强

比较好的教学帖
以收藏
学习

【回复“thomas2004”的帖子】
1.4版，我没玩儿过。
1.5版生成的木马就是Trojan.PSW.Liumazi.e。这个木马，瑞星已经能杀了。

Trojan.PSW.Liumazi.e的查杀
1、清理注册表：
展开：HKEY_CLASSES_ROOT\CLSID\
删除：{08315C1A-9BA9-4B7C-A432-26885F78DF28}
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除："{08315C1A-9BA9-4B7C-A432-26885F78DF28}"=""

2、重启系统。
3、删除下列木马文件：
C:\Program Files\Common Files\Microsoft Shared\MSInfo\xiaran.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\xiaran.vxd

1.5版进步不少......

我本来是下载1.5版的...可是不知道为什么,后来打开后看到是1.4的

不过不理了..做了先...1.5迟点再研究...

伱玩玩1.4吧,看看怎样启动的...

我懒得找了......之前玩的时候吓了我身冷汗

C:\Program Files\Common Files\Microsoft Shared\MSInfo
本来就是一个木马的隐藏之所

用上网助手导出的日志是能够看到的
但是我们常有的HIJACKTHIS日志却看不到
不知为何

【回复“不言放弃”的帖子】
这类木马通过在HKCR下添加CLSID，再经HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks挂接explorer.exe实现启动加载。HJ是扫不到的。1.99.1以后的版本能否扫到，等着看吧。

用Autoruns可轻松搞定

年前就有人遇到过的
http://forum.ikaka.com/topic.asp?board=28&artid=7697464

解决方法：
http://forum.ikaka.com/topic.asp?board=28&artid=7698483

引用:

【BlackStone的贴子】用Autoruns可轻松搞定 年前就有人遇到过的 解决方法： ...........................

是的。这类木马，在autoruns面前暴露无遗。
但很多人不善用autoruns，扫出的日志大都包含N多微软的项目。自己看着烦，别人也看着烦。
不善用工具，只一味儿的追求“赶快找人帮忙”——这是很多人的毛病。

引用:

【baohe的贴子】 是的。这类木马，在autoruns面前暴露无遗。 但很多人不善用autoruns，扫出的日志大都包含N多微软的项目。自己看着烦，别人也看着烦。 不善用工具，只一味儿的追求“赶快找人帮忙”——这是很多人的毛病。 ...........................

强烈支持baohe版版的这个观点
现在论坛大部分会员的动手能力很差
确实的说应该是很懒
就拿HIJACKHTIS来说吧
他们很多就回贴说如何用HIJACKTHSI导出日志
唉
建议大家好好参考一下与自己问题类似的问题
举一反三
既解决了问题
又增强了自己对病毒木马及系统的认识
何乐而不为呢