【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-23 21:23 \| 只看楼主短消息资料字号：小中大 1楼【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件近期，我们公司里发现了N多这样的病毒。目前已发现的特点是，启动项里出现该dll文件，该dll植入explorer.exe进程。该文件在system32目录下。还会定期增加。总是在drivers目录生成同名。sys并注册为驱动服务，该服务在windows状态下无法杀除同时有一个随机名的服务和一个驱动服务生成，估计是保护和生成新dll的。头大的是每次产生后名称也都不一样。杀毒软件只能查出dll，估计是利用特征码。还有。sys只能部分发现，发现后显示为rootkits.唉，看来rootkits确实是个很厉害的东东。我杀除的方法是先用dos启动，把dll和sys的文件干掉。然后通过查看管理的事件记录找出那个随机名的服务。干掉。最后那个驱动服务可以借助一些工具软件查出来。东西虽然是干掉了，但估计还是有遗漏。所以贴出来，希望各位高手补遗。呵呵 2007-06-23 22:42:55.310000000
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	分享到：

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2007-06-23 21:30 \| 短消息资料字号：小中大 2楼学习：）遇到有些线程的DLL删除时会蓝屏，后来停手了，看来在DOS下删除好些。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-23 21:37 \| 只看楼主短消息资料字号：小中大 3楼 Dos也不是万能。我碰到过dos下也删不掉，dir看不到，del，ren说没有，可md它说有重名，呵呵，还不知道怎么搞得顺大便说说桌面媒体，它的那个Ntdll32。dll和mspcidrv.sys del不了，但可以ren呵呵，我觉得它应该算是利用了rootkits，但好像还不算复杂。
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-23 21:47 \| 只看楼主短消息资料字号：小中大 4楼 Rootkits特点在于，它本身没有任何恶意代码，我估计杀毒软件很难把它识别出来。但它可以获得系统最高权限，想干吗就干吗。如果是黑客，装了病毒反而暴露了自己。我觉得如果我是黑客我跟本不会去搞啥病毒。一般看中的是驱动服务。从目前我发现的几个来说，可以把它们看成是利用了驱动服务的木马。更可怕的是，没有软件防火墙能防住。你即使用了安全模式也照样启动，因为驱动总是要加载的。难就是难在发现它。我只好用最笨的办法，牢记drivers目录大小和文件。不过，还有数据流这个东东。啊啊啊啊啊啊啊啊，看来大家以后都要用只读不写的硬盘了。呵呵
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2007-06-23 22:15 \| 短消息资料字号：小中大 5楼 Dos也不是万能。我碰到过dos下也删不掉，dir看不到，del，ren说没有，可md它说有重名，呵呵，还不知道怎么搞得这种情况需要知道文件完整的名称才能看到，简单的dir看不到。桌面媒体的那个Ntdll32。dll，掌握了dos下某种较隐晦的技术？我习惯去查找非法服务，可是rootkits可以隐藏一些服务，也能替换cmd.exe.这应该是某些sys,dll之类驱动层次上的东西。我会用dllcompare.exe来作排除。但是active directory中的domain control比较复杂。dllcompare.exe不适合。。。。。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2007-06-23 22:21 \| 短消息资料字号：小中大 6楼数据流到底是什么呢？听说powershadow因为用硬盘虚拟系统，所以被攻破了。我在technet,online mp3会听到不该听到的东西，这也是数据流的用处？通过以上两点，我大概能了解它的作用了，只是如何才能理解并应用这种专利呢？
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-23 22:34 \| 只看楼主短消息资料字号：小中大 7楼 NTFS数据流，网上可以找到好多不过我最近发现，数据流文件应该可以直接写入启动项里，不过还在研究中
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:

拙长孩提狮

帖子:87
注册: 2006-12-12
来自:

发表于： 2007-06-23 22:42 | 只看楼主 短消息资料

字号：小中大 8楼

引用:
我在technet,online mp3会听到不该听到的东西，这也是数据流的用处？ quote] 这是音频流，呵呵 NTFS数据流简单的说是寄生在普通文件下面的隐藏文件，windows下基本上不能被识别，被关联的文件大小都没变化哦，但它确实存在。就是因为这一点，可以被写病毒的人来利用。

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT