一只奇怪的鸽子 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一只奇怪的鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

一只奇怪的鸽子

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-20 14:21 \| 只看楼主短消息资料字号：小中大 1楼一只奇怪的鸽子 dos.exe，卡巴斯基报：Backdoor.Win32.GrayBird.aj。将dos.exe解压到%system%下运行。 dos.exe在%system%下创建VPort1.1.exe；并试图插入msctf.dll和msctfime.ime。TPF2005及SSM均未监测到注册表改动，HijackThis及Autoruns日志也无异常发现。以dos.exe为关键字，搜索整个注册表——无果。以Vport1.1.exe为关键字，搜索整个注册表——无果。重启系统后发现：dos.exe自动加载运行，但dos.exe试图运行VPort1.1.exe时被SSM阻止（见附图）。此时，dos.exe和VPort1.1.exe可被直接删除。删除这两个文件后，重启系统——SSM日志恢复正常；%system%下也未见dos.exe和VPort1.1.exe复活。卡巴斯基也不再报毒。问题：这只鸽子（dos.exe）是通过什么机制加载运行的？附件: 文件名:1558472006120142144.jpg 下载次数:429 文件类型:image/pjpeg 文件大小: 上传时间:2006-1-20 14:21:44 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-01-24 21:00:22
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-01-20 15:28 \| 短消息资料字号：小中大 2楼这只鸽子是不是通过 boot 进行加载??? 未见样本没法判断
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:

卧龙传说特邀体验者帖子:861 注册: 2005-09-18 来自:	发表于： 2006-01-20 15:41 \| 短消息资料字号：小中大 3楼这只鸽子是不是通过 boot 进行加载??? 未见样本没法判断也觉得是这样不过改BOOT文件SSM会报的吧
卧龙传说特邀体验者帖子:861 注册: 2005-09-18 来自:

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-01-20 16:06 \| 短消息资料字号：小中大 4楼 http://free5.ys168.com/?taylor0577 baohe可以传到我的网盘里
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

年度优秀版主奖

端午辟邪香囊

卡卡名人堂

就爱不长大

论坛9周年纪念

09欢乐圣诞

十周年

年度风云人物

2012我眼中的你们

茶馆劳模

瑞星金牌用户

十一周年勋章

发表于： 2006-01-20 16:34 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【taylor05771的贴子】http://free5.ys168.com/?taylor0577
baohe可以传到我的网盘里
...........................

dos.exe样本来自“安全12公里”（病毒样本交流）。http://www.12km.com/

gototop

天山雪狐叱咤花甲狮帖子:2434 注册: 2005-04-16 来自:	发表于： 2006-01-20 16:44 \| 短消息资料字号：小中大 6楼寒，防不胜防。
天山雪狐叱咤花甲狮帖子:2434 注册: 2005-04-16 来自:

精致油970427 叱咤花甲狮帖子:2924 注册: 2005-12-09 来自:	发表于： 2006-01-20 19:25 \| 短消息资料字号：小中大 7楼又是可恶的鸽子。
精致油970427 叱咤花甲狮帖子:2924 注册: 2005-12-09 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-01-20 19:35 \| 短消息资料字号：小中大 8楼恐怖~
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

飘渺游侠初生襁褓狮帖子:157 注册: 2005-10-04 来自:	发表于： 2006-01-20 19:36 \| 短消息资料字号：小中大 9楼 ke wu
飘渺游侠初生襁褓狮帖子:157 注册: 2005-10-04 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-01-20 19:37 \| 短消息资料字号：小中大 10楼这么厉害的鸽子,卡巴斯基怎么可能查出来?也应该奇怪卡巴斯基
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

页面顶部

Powered by Discuz!NT