致“ 闪电风暴”——关于“QQ堂不死外挂4.0.exe” - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致“ 闪电风暴”——关于“QQ堂不死外挂4.0.exe”

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

致“ 闪电风暴”——关于“QQ堂不死外挂4.0.exe”

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-07-15 16:16 \| 只看楼主短消息资料字号：小中大 1楼致“ 闪电风暴”——关于“QQ堂不死外挂4.0.exe” 这个“QQ堂不死外挂4.0.exe”夹带木马。直接用卡巴斯基扫这个文件——并不报毒（见图）。运行“QQ堂不死外挂4.0.exe”后，释放两个文件到system32文件夹。改动注册表一处。详细查杀流程： 1、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SOFTWARE\ 删除{FCADC8A0-FEB7-4185-9F52-C5141DE0312E} 2、删除C:\WINDOWS\system32\文件夹中的{F97C644B-C764-4847-BF7E-E4E92159E73B}和V22006115.EPE 注：V22006115.EPE已经插入explorer.exe、IDM等多个进程。用IceSword禁止进程创建，结束这些被插进程后，才能删除之。当然，处理干净注册表后，也可重启后删除之。附件: 文件名:1558472006715160908.jpg 下载次数:3037 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-15 16:16:58 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-10-01 21:55:47
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-15 16:45 \| 短消息资料字号：小中大 2楼 ....流汗... 为什么我玩的时候...都没发现......- -...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2006-07-15 16:47 \| 短消息资料字号：小中大 3楼呵呵.看还有人挂QQ堂不.
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

大版主

帖子:72578
注册: 2003-04-10
来自:

年度优秀版主奖

端午辟邪香囊

卡卡名人堂

就爱不长大

论坛9周年纪念

09欢乐圣诞

十周年

年度风云人物

2012我眼中的你们

茶馆劳模

瑞星金牌用户

十一周年勋章

发表于： 2006-07-15 17:02 | 只看楼主 短消息资料

字号：小中大 4楼

引用:

【mopery的贴子】....流汗...
为什么我玩的时候...都没发现......- -...

...........................

这种包含在软件中的木马比较隐匿。我是用Tiny的Track'n'Reverse监控发现的。那个V22006115.EPE，卡巴斯基还是报毒的（名字忘记了）。
建议：不要玩儿“外挂”。

gototop

酷盖飘泊而立狮帖子:505 注册: 2003-10-05 来自:	发表于： 2006-07-15 17:04 \| 短消息资料字号：小中大 5楼昨天从华军网下载了一个吞食鱼小游戏,一扫描,靠3个木马,强制安装雅虎助手. 现在连华军网这样的网站都信不过了.
酷盖飘泊而立狮帖子:505 注册: 2003-10-05 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2006-07-15 17:27 \| 短消息资料字号：小中大 6楼这个已经算客气的了
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

q3zz 初生襁褓狮帖子:289 注册: 2003-10-26 来自:	发表于： 2006-07-15 20:27 \| 短消息资料字号：小中大 7楼查找EncryptPE来了解老王的这个壳.
q3zz 初生襁褓狮帖子:289 注册: 2003-10-26 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-15 20:33 \| 短消息资料字号：小中大 8楼谢谢Baohe版主,我现在有理由去说我的同学了~!~~~~~~~~
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-15 20:41 \| 短消息资料字号：小中大 9楼这个木马运行后多次调用 setwindowshookex\CreatRemoteThread\writeMemory设置全局钩子和插入进程\改写内存.(SSM报)
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-15 20:43 \| 短消息资料字号：小中大 10楼看偶的这些装备还可以吧.~~~~
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT