gdisvc.jpg及其查杀 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 gdisvc.jpg及其查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

gdisvc.jpg及其查杀

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-03-25 06:45 \| 短消息资料字号：小中大 11楼猫叔给个样本对了,如果版家那是的话就算了,直接去那里了
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-25 21:29 \| 短消息资料字号：小中大 12楼这个木马应该是个下载器,运行后,会下载多种木马.
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-25 21:30 \| 短消息资料字号：小中大 13楼开启iexplore.exe后,从KsSuperSword的LOG中可以看出IE进程被严重修改: KsSafetyCenter's SuperScan Log 可疑分数246 文件名: C:\Program Files\Internet Explorer\IEXPLORE.EXE 虚拟内存地址可疑分数点特征描述 0x00404438 0x0000001E 特征API调用 => CALL AdjustTokenPrivileges 0x00404440 0x0000001E 特征API调用 => CALL AdjustTokenPrivileges 0x004044F0 0x00000005 特征API调用 => CALL DeleteFileA 0x004045A0 0x00000002 特征API调用 => CALL GetProcAddress 0x004046A8 0x00000005 特征API调用 => CALL WriteProcessMemory 0x0040525B 0x00000005 特征API跳转 => JMP DeleteFileA 0x0040534E 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405363 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405880 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405892 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058A4 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058B6 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058C8 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058DA 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058EC 0x00000002 特征API跳转 => JMP GetProcAddress 0x004058FE 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405910 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405922 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405934 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405946 0x00000002 特征API跳转 => JMP GetProcAddress 0x00405958 0x00000002 特征API跳转 => JMP GetProcAddress 0x0040596A 0x00000002 特征API跳转 => JMP GetProcAddress 0x0040597C 0x00000002 特征API跳转 => JMP GetProcAddress 0x0040598E 0x00000002 特征API跳转 => JMP GetProcAddress 0x004061BF 0x00000002 特征API跳转 => JMP GetProcAddress 0x00406420 0x00000005 特征API调用 => CALL VirtualAllocEx 0x00406448 0x00000005 特征API调用 => CALL VirtualAllocEx 0x00406483 0x00000005 特征API跳转 => JMP WriteProcessMemory 0x0040649F 0x00000005 特征API跳转 => JMP WriteProcessMemory 0x0040666D 0x00000002 特征API跳转 => JMP GetProcAddress 0x00408F3E 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges 0x00408FBD 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges 0x00409BC9 0x00000002 特征API跳转 => JMP GetProcAddress 0x00409BDE 0x00000002 特征API跳转 => JMP GetProcAddress 0x00409E69 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges 0xFFFFFFFF 0x0000000F 组合行为特征 => 非法文件操作
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-25 21:36 \| 短消息资料字号：小中大 14楼然后IceSword(1.22)的驱动文件IsDrv122.sys就因写入只读内存而造成了蓝屏
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-25 21:38 \| 短消息资料字号：小中大 15楼接着,winso32.sys(病毒的驱动?)也因写入只读内存而造成蓝屏..见图.. 附件: 文件名:4224712008325212646.jpg 下载次数:181 文件类型:image/pjpeg 文件大小: 上传时间:2008-3-25 21:38:49 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-03-25 21:40 \| 短消息资料字号：小中大 16楼所以这些蓝屏应该是病毒本身造成的.可见这个病毒本身并不完善,驱动中BUG太多.
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

神龙飞天锋芒艾服狮帖子:1541 注册: 2003-07-11 来自:	发表于： 2008-03-26 00:56 \| 短消息资料字号：小中大 17楼这个病毒瑞星的什么版本可以搞定它
神龙飞天锋芒艾服狮帖子:1541 注册: 2003-07-11 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT