1   1  /  1  页   跳转

再次 提交病毒样本 cmd.exe.exe

收藏
guyueseng
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-09 18:06 | 只看楼主 短消息 资料
字号: 1楼

再次 提交病毒样本 cmd.exe.exe

再次提交一个程序样本

dllhost.exe 样本 (普通用户别下) dllhost.exe 版本是 3.3
http://www.i170.com/Attach/088284BA-F4F6-4236-BDAB-7156D0F7A65B

这个病毒 修改一个系统关键服务  comsysapp

并在你使用cmd的时候生成一个 cmd.exe.exe 文件大小和真的cmd.exe一摸一样,甚至连数字签名都一样的,厉害啊

cmd.exe.exe的样本
http://www.i170.com/Attach/3FCD71B3-603B-429A-AEE2-0E475D22D984

附件附件:

下载次数:246
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-9 18:06:47
描述:



最后编辑2007-04-09 18:13:43
分享到:
gototop
 
guyueseng
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-09 18:15 | 只看楼主 短消息 资料
字号: 2楼

会关闭XP的服务查看 MMC.exe 再次打开 它的服务会隐藏
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-09 18:17 | 短消息 资料
字号: 3楼

1、dllhost.exe————后门一个。瑞星能杀(见附图)。
2、那个cmd.exe.exe系被改名过的正常系统文件cmd.exe(核对过该文件的大小及其MD5值)。重新改名为cmd.exe即可。

附件附件:

下载次数:173
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-9 18:17:47
描述:
预览信息:EXIF信息
gototop
 
guyueseng
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-09 18:20 | 只看楼主 短消息 资料
字号: 4楼

Autoruns 查看
映像劫持

cmd.exe
msconfig.exe
regedit.exe
regedit32.exe
gototop
 
三月学毒
头像
初生襁褓狮
  • 帖子:332
  • 注册: 2007-03-30
  • 来自:
发表于: 2007-04-09 18:23 | 短消息 资料
字号: 5楼

厉害啊,以前我就遭过,
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT