12345   1  /  5  页   跳转

关于 recyclecl.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:03 | 只看楼主 短消息 资料
字号: 1楼

关于 recyclecl.exe

recyclecl.exe好像是个后门。
1、感染系统后试图关闭卡巴斯基(我的卡巴N天没更新了),见图1。
2、在%system%下释放recyclecl.exe;还试图释放一个aspr_keys.ini,但没成功。
3、注册表改动见图2
4、篡改hosts文件(见图3)
查杀:
后门进程recyclecl.exe可直接结束;%system%下的recyclecl.exe可直接删除。
将被改动的hosts文件内容和注册表内容删除。

图1

附件附件:

下载次数:1
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:03:20
描述:



最后编辑2005-12-30 22:29:32
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:04 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:04:45
描述:
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-12-11 12:04 | 短消息 资料
字号: 3楼

卡巴还没有报这个
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:05 | 只看楼主 短消息 资料
字号: 4楼

图3

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-11 12:05:47
描述:
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-12-11 12:07 | 短消息 资料
字号: 5楼

哇,这么难呀,还好没试.
gototop
 
天天网
头像
强壮不惑狮
  • 帖子:782
  • 注册: 2005-03-12
  • 来自:
发表于: 2005-12-11 12:15 | 短消息 资料
字号: 6楼

收藏
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-12-11 12:16 | 短消息 资料
字号: 7楼

老班,问一句,他改hosts文件内容你是怎么知道的??
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-11 12:21 | 只看楼主 短消息 资料
字号: 8楼

引用:
【独孤豪侠的贴子】哇,这么难呀,还好没试.
...........................

根据其关闭杀软以及添加的注册表内容,想起以前遇到过的几个bot后门。这类后门都篡改hosts。
另外,如果你用hijackthis扫日志,也会发现N个O1。
gototop
 
七彩黄花菜萱草
头像
锋芒艾服狮
  • 帖子:1312
  • 注册: 2005-08-09
  • 来自:
发表于: 2005-12-11 12:24 | 短消息 资料
字号: 9楼

引用:
【独孤豪侠的贴子】老班,问一句,他改hosts文件内容你是怎么知道的??
...........................

也是,下面这个帖的日志O1项并无异常呀,请释疑.
《 recyclecl.exe,附日志http://forum.ikaka.com/topic.asp?board=28&artid=7512277 》

不知道样本是不是同一个?
斑竹就是厉害,经验和技术都没说的,佩服。谢谢
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-12-11 12:24 | 短消息 资料
字号: 10楼

哦,这些我倒没注意.又学一招,3Q
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT