瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个比较隐蔽且难杀的pdf病毒
baohe - 2010-2-21 0:10:00
样本是个scr



此scr运行后,在C:\Documents and Settings\All Users\目录下创建一个MDR目录,其中释放随机文件名的病毒文件.pdf




此pdf插入一个svchost进程中运行





此pdf以服务加载







病毒文件无法直接删除








杀毒流程:


1、禁止任何程序在C:\Documents and Settings\All Users\MDR目录创建、写入文件(这步我用Tiny实现)。


2、结束带pdf的那个svchost进程。


3、用IceSword强制删除那个随机名的病毒文件.pdf(需反复强制删除几次)。


4、删除病毒添加的服务项。

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
Enao2005 - 2010-2-21 1:09:00
sreng能扫到不?要是扫不到,猫叔样本共享下:kaka12:
happysunday2003 - 2010-2-21 12:13:00
占座学习。
那这个病毒运行起来后都做些什么呢?
newcenturymoon - 2010-2-21 12:52:00
看样子估计是个 后门病毒
baohe - 2010-2-21 14:30:00


引用:
原帖由 newcenturymoon 于 2010-2-21 12:52:00 发表
看样子估计是个 后门病毒



貌似是个 反弹木马。:kaka12:
DoctorLc - 2010-2-21 16:10:00
猫叔,能提供一下样本吗?
想下来看看:kaka1:
baohe - 2010-2-21 17:04:00


引用:
原帖由 DoctorLc 于 2010-2-21 16:10:00 发表
猫叔,能提供一下样本吗?
想下来看看:kaka1:  



解压密码:123

附件: 1.rar
DoctorLc - 2010-2-21 20:38:00


引用:
原帖由 baohe 于 2010-2-21 17:04:00 发表


引用:
原帖由 DoctorLc 于 2010-2-21 16:10:00 发表
猫叔,能提供一下样本吗?
想下来看看:kaka1: 



解压密码:123


猫叔,我有个小疑惑。

为何第一步要禁止任何程序对DRM目录进行创建、写入文件呢?
baohe - 2010-2-21 21:38:00


引用:
原帖由 DoctorLc 于 2010-2-21 20:38:00 发表


引用:
原帖由 baohe 于 2010-2-21 17:04:00 发表


引用:
原帖由 DoctorLc 于 2010-2-21 16:10:00 发表
猫叔,能提供一下样本吗?
想下来看看:kaka1:  



解压密码:123


猫叔,我有个小疑惑。

为何第一步要禁止任何程序对DRM目录进行



你删除那个目录下的病毒文件.pdf时,内存中的病毒会在该目录下立即回写。
辛达星郁 - 2010-2-21 22:15:00
谢谢猫叔,样本拿走回去测试一下
byxxdrls - 2010-2-21 22:59:00
此病毒不隐蔽也不难处理。:kaka12: 用wsyscheck卸载该模块并删除文件,然后删除服务即可。
筠林碧湫 - 2010-2-22 17:38:00
回去挑战一下自己的水平 那个tiny 是什么呢
1
查看完整版本: 一个比较隐蔽且难杀的pdf病毒
© 2000 - 2025 Rising Corp. Ltd.