瑞星卡卡安全论坛

1、运行后，SRENG日志可见下列异常：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll>  [Microsoft Corporation]
==================================
正在运行的进程
[PID: 1264][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
 
    [C:\Program Files\Internet Explorer\romdrivers.dll]  [Microsoft Corporation, 1. 0. 0. 1]
2、病毒文件可以删除（图1）。

附件: 1558472007529144701.jpg

3、Track'nReverse检测到的病毒文件释放/删除（图2）


附件: 1558472007529144802.jpg

4、Track'nReverse检测到的注册表改动（图3）

5、Tiny未监测到ghost.pif访问网络/下载木马。

6、SSM以及Tiny的amon也没提示有其它文件运行。

7、点击Tralogan的Revert Changes，搞掂。

附件: 1558472007529144832.jpg

8、这个病毒有意思的地方是：通过正在运行的应用程序进程反复删除shellexecutehooks下的键值

附件: 1558472007529145102.jpg

这多工具监着，呵呵！！！！！

引用:

【baohe的贴子】4、Track''nReverse检测到的注册表改动（图3） 5、Tiny未监测到ghost.pif访问网络/下载木马。 6、SSM以及Tiny的amon也没提示有其它文件运行。 7、点击Tralogan的Revert Changes，搞掂。 ………………

学习了````

我要的就是第5点```吓了一跳```好像是绕过SSM的ND````

不过他确实那样做了``从外面下载了一大推木马``

我测试时候SSM没有反映``

哎,昨天写好的分析不知道丢哪里去了``555`~

猫叔之前把标题打成致：“孤独豪侠了。。。。呵呵。。

呵呵！！！！

都有趣！！！

好好玩。

PIF文件可以直接运行？
再问下猫叔，TINY的那个tracklog 为什么我每次用里面都是空的呢。。。。郁闷。。。

引用:

【loveperday的贴子】PIF文件可以直接运行？ 再问下猫叔，TINY的那个tracklog 为什么我每次用里面都是空的呢。。。。郁闷。。。 ………………

1、双击那个ghost.pif，可以运行。没问题。
2、Tiny的设置问题。也可能是病毒运行后，你没有正确回应Tiny的询问对话框（应选择Track'nReverse）。