小职员online - 2007-6-23 21:23:00
近期,我们公司里发现了N多这样的病毒。
目前已发现的特点是,
启动项里出现该dll文件,该dll植入explorer.exe进程。该文件在system32目录下。还会定期增加。
总是在drivers目录生成同名。sys并注册为驱动服务,该服务在windows状态下无法杀除
同时有一个随机名的服务和一个驱动服务生成,估计是保护和生成新dll的。头大的是每次产生后名称也都不一样。
杀毒软件只能查出dll,估计是利用特征码。还有。sys只能部分发现,发现后显示为rootkits.唉,看来rootkits确实是个很厉害的东东。
我杀除的方法是先用dos启动,把dll和sys的文件干掉。
然后通过查看管理的事件记录找出那个随机名的服务。干掉。
最后那个驱动服务可以借助一些工具软件查出来。
东西虽然是干掉了,但估计还是有遗漏。所以贴出来,希望各位高手补遗。呵呵
文物2 - 2007-6-23 21:30:00
学习:)遇到有些线程的DLL删除时会蓝屏,后来停手了,看来在DOS下删除好些。
小职员online - 2007-6-23 21:37:00
Dos也不是万能。我碰到过dos下也删不掉,dir看不到,del,ren说没有,可md它说有重名,呵呵,还不知道怎么搞得
顺大便说说桌面媒体,它的那个Ntdll32。dll和mspcidrv.sys del不了,但可以ren呵呵,我觉得它应该算是利用了rootkits,但好像还不算复杂。
小职员online - 2007-6-23 21:47:00
Rootkits特点在于,它本身没有任何恶意代码,我估计杀毒软件很难把它识别出来。但它可以获得系统最高权限,想干吗就干吗。如果是黑客,装了病毒反而暴露了自己。我觉得如果我是黑客我跟本不会去搞啥病毒。一般看中的是驱动服务。从目前我发现的几个来说,可以把它们看成是利用了驱动服务的木马。更可怕的是,没有软件防火墙能防住。你即使用了安全模式也照样启动,因为驱动总是要加载的。难就是难在发现它。我只好用最笨的办法,牢记drivers目录大小和文件。不过,还有数据流这个东东。啊啊啊啊啊啊啊啊,看来大家以后都要用只读不写的硬盘了。呵呵
文物2 - 2007-6-23 22:15:00
Dos也不是万能。我碰到过dos下也删不掉,dir看不到,del,ren说没有,可md它说有重名,呵呵,还不知道怎么搞得
这种情况需要知道文件完整的名称才能看到,简单的dir看不到。
桌面媒体的那个Ntdll32。dll,掌握了dos下某种较隐晦的技术?
我习惯去查找非法服务,可是rootkits可以隐藏一些服务,也能替换cmd.exe.这应该是某些sys,dll之类驱动层次上的东西。我会用dllcompare.exe来作排除。但是active directory中的domain control比较复杂。dllcompare.exe不适合。。。。。
文物2 - 2007-6-23 22:21:00
数据流到底是什么呢?听说powershadow因为用硬盘虚拟系统,所以被攻破了。
我在technet,online mp3会听到不该听到的东西,这也是数据流的用处?
通过以上两点,我大概能了解它的作用了,只是如何才能理解并应用这种专利呢?
小职员online - 2007-6-23 22:34:00
NTFS数据流,网上可以找到好多
不过我最近发现,数据流文件应该可以直接写入启动项里,不过还在研究中
小职员online - 2007-6-23 22:42:00
| 引用: |
我在technet,online mp3会听到不该听到的东西,这也是数据流的用处?
quote]
这是音频流,呵呵
NTFS数据流简单的说是寄生在普通文件下面的隐藏文件,windows下基本上不能被识别,被关联的文件大小都没变化哦,但它确实存在。就是因为这一点,可以被写病毒的人来利用。
1
© 2000 - 2026 Rising Corp. Ltd.
|