瑞星卡卡安全论坛
newcenturymoon - 2007-4-18 11:27:00
恩 但是一般应该是 利用ani漏洞下载一个下载者 然后 木马会一个一个接力性的下载 比如cmdbcs winform 还有你帖子中说的那些lgsy0.dll什么的 还有iexpl0re....
newcenturymoon - 2007-4-18 11:32:00
| 引用: |
【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。
所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
……………… |
所以 至于那个shualai 感染文件的说法是不是欠妥呢 个人认为是 利用ani漏洞的蠕虫感染文件 而不是那个shualai 哦 如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
newcenturymoon - 2007-4-18 11:34:00
以上是个人意见哦 大家一块探讨哈
孤独更可靠 - 2007-4-18 11:47:00
是,发现shualai.exe这个进程的,一般都带写木马群
好像有看到过有个日志有感染文件的,不过跟这个进程似乎没关系
应该是巧合吧..
newcenturymoon - 2007-4-18 11:51:00
| 引用: |
【孤独更可靠的贴子】是,发现shualai.exe这个进程的,一般都带写木马群
好像有看到过有个日志有感染文件的,不过跟这个进程似乎没关系
应该是巧合吧..
……………… |
同意撒
newcenturymoon - 2007-4-18 11:52:00
最根本的还是 要打上微软的ani补丁
baohe - 2007-4-18 11:53:00
| 引用: |
【newcenturymoon的贴子】| 引用: | 【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。
所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
……………… |
所以 至于那个shualai 感染文件的说法是不是欠妥呢 个人认为是 利用ani漏洞的蠕虫感染文件 而不是那个shualai 哦 如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
……………… |
帖子标题之所以提到shualai.exe,是因为这是中招后最明显的一个症状。
至于这类群居病毒,样本本身也没多少说明具体问题的价值。原因:不同时间运行同一样本,进入系统中的病毒文件都可以不同。
这个样本,我没保留(没什么收藏价值)。如果想要,请找not。
newcenturymoon - 2007-4-18 11:57:00
| 引用: |
【baohe的贴子】| 引用: | 【newcenturymoon的贴子】| 引用: | 【baohe的贴子】
利用ANI漏洞的木马/病毒————多是一窝一窝的。“窝”里有多少“崽子”、什么样的“崽子”,变换无穷。
看过N多因为见到shualai.exe进程而求助的日志————内容各异。
所以,建议:中招者用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
……………… |
所以 至于那个shualai 感染文件的说法是不是欠妥呢 个人认为是 利用ani漏洞的蠕虫感染文件 而不是那个shualai 哦 如果可能烦请猫叔把那个样本发给我 谢谢 我会抓紧在测试一遍 看其是不是感染文件
……………… |
帖子标题之所以提到shualai.exe,是因为这是中招后最明显的一个症状。
至于这类群居病毒,样本本身也没多少说明具体问题的价值。原因:不同时间运行同一样本,进入系统中的病毒文件都可以不同。
这个样本,我没保留(没什么收藏价值)。如果想要,请找not。
……………… |
恩 谢谢咯 我找一下not
alex2000 - 2007-4-18 12:06:00
各位都是高人,小可新人,冒昧发贴,请教一二,
1,我用tiny firewall把C\windows目录保护成只读,注册表只读,没有装其他防火墙或杀毒软件(因为机子较烂),请问这样是否比较安全了?能防住楼上说的这些病毒吗?
2,SRENG是否也有扫描不到的漏洞或被篡改的注册表键值?,我用SRENG扫了几次,机子里应该没有病毒或木马了,可我的机子有一个毛病,会自动断电重启,大概两星期一次,这是什么毛病?谢谢了!!
spiritfire - 2007-4-18 12:27:00
最近流行这种…………
alex2000 - 2007-4-18 12:28:00
baohe 版主,你还在用powershaodow吗,软件好是好,就是只有一个月的使用期限,你的是破解版的?
天月来了 - 2007-4-18 12:34:00
【回复“alex2000”的帖子】
自动断电重启,你得怀疑是否你的主电源要不行了。
至于powershaodow,有官方网页去下载2.8版本的。在线激活后,可无限期使用。
并且在不卸载的情况下,格盘重装系统都不影响它的无限期使用。
alex2000 - 2007-4-18 12:38:00
【回复“天月来了”的帖子】
谢谢!!一段时间不上网立马就落伍了
电脑到还比较新,我相会不会是因为电脑在机房,几台电脑共用一个电源线路,所以造成电源不稳?
超级游戏迷 - 2007-4-18 12:51:00
猫版此帖非常及时,最近中这招的朋友很多,昨晚上就见了中此招的朋友。谢谢提醒和赐招。
不过,貌似反浏览器劫持论坛半个多月前就已经有朋友报此病毒了,不知道是不是同一个病毒。
天月来了 - 2007-4-18 12:55:00
【回复“alex2000”的帖子】
哎呀!!!
我说的是你那电脑主板的那个主电源。
呵呵!!!!
你当哪呢?????????????
如果其他电脑没这现象。看你怎办????
哈哈!!!
建议一下而已。
虚幻ヱ涟漪 - 2007-4-18 13:12:00
又看见猫叔发的贴了
WesTLosT - 2007-4-18 14:55:00
昨天机器也中了爱昵系列病毒,也包含以上shualai.exe等文件,瑞星升级到最新版本杀不干净,重新启动后杀不出来了.换卡巴也无法清除,换金山杀了30多个,但重新启动后又发现病毒,我都郁闷死了,瑞星什么时候能彻底查杀啊?
smartvip - 2007-4-18 17:27:00
受益了,以后也好知道自己中啥毒了
alex2000 - 2007-4-18 17:39:00
酱紫阿,只能怪我的电脑真烂
| 引用: |
【天月来了的贴子】【回复“alex2000”的帖子】
哎呀!!!
我说的是你那电脑主板的那个主电源。
呵呵!!!!
你当哪呢?????????????
如果其他电脑没这现象。看你怎办????
哈哈!!!
建议一下而已。
……………… |
帅的被贼砍 - 2007-4-18 18:28:00
这毒什么时候的,正好我昨天给人弄机子时候清理的就是这毒.这个木马群估计还缺点.. 应该还有一个假的 SVCHOST 带一个动态库DLL( windows下) 猫叔把这个传过来吧 嘎
hou2298@yahoo.com.cn
horseluke11 - 2007-4-18 19:43:00
今天看的第一张帖子就是这个病毒.....比较郁闷.....
http://forum.ikaka.com/topic.asp?board=28&artid=8300070
另壶冲 - 2007-4-18 20:39:00
To baohe:
如果下次把autorun.exe IFEO劫持了呢? :)
希望提供更多的方法。。
baohe - 2007-4-18 21:25:00
| 引用: |
【另壶冲的贴子】To baohe:
如果下次把autorun.exe IFEO劫持了呢? :)
希望提供更多的方法。。
……………… |
IFEO劫持这种小把戏没什么。
你随便改个名字(如:改成auto.exe,改成123.exe也行),就能运行了。
孤独更可靠 - 2007-4-19 11:00:00
的确
用IFEO根本米什么用
也不能成为主流
实在是小把戏
不用改名,只要改扩展名一样可以运行..(COM\BAT)
现在主流应该是覆盖文件类型的病毒了,呵呵
比较简单,不用想捆绑那样费劲,见效也不错,呵呵~
有点卡啦 - 2007-4-19 11:22:00
学习了,谢谢
不懂拒绝 - 2007-4-19 22:37:00
IFEO是怎么喔?
小学没毕业,还望不稚下教
yjfg - 2007-4-19 22:42:00
昨天也遇到这个shualai了,不过当时处理的不够干净。可惜早没见到这个贴子!
小小小Ok - 2007-4-20 8:37:00
msccrt.dll 是什么
我也是个受害人 - 2007-4-20 9:04:00
我的电脑也中招了,一直搞不定,有空来学习!
炫Oo逍遥oO - 2007-4-20 18:00:00
| 引用: |
【孤独更可靠的贴子】的确
用IFEO根本米什么用
也不能成为主流
实在是小把戏
不用改名,只要改扩展名一样可以运行..(COM\BAT)
现在主流应该是覆盖文件类型的病毒了,呵呵
比较简单,不用想捆绑那样费劲,见效也不错,呵呵~
……………… |
没记错的话,bat是批处理.
对于这类病毒,也能用这方法?...
© 2000 - 2026 Rising Corp. Ltd.