【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:22 \| 显示全部短消息资料字号：小中大 1楼【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒) ++++++++++ 上报瑞星,得病毒名为:Backdoor.Agent.dry 将在18.42.2版本解决木马行为: 运行样本lexps.exe后,SSM拦截lexps.exe多次直接访问物理内存. 添加服务项: DDOSServer= C:\windows\system32\lexps.exe 在HJ日志中表现为: O23 - Service: Windows DDOSServer (DDOSServer) - Unknown owner - C:\windows\system32\lexps.exe 并试图访问网络: 信息:C:\windows\system32\lexps.exe cmdline=C:\windows\system32\lexps.exe -NetSata 感染完成时,样本目录下生成deleteme.bat文件,然后同时与原样本lexps.exe自取短见.企图销毁源木马文件. 根据baohe版主回帖补充:如果发现有调试器或者安全软件拦截它的行为,它会自杀以不被发现.(我测试时用SSM除了访问物理内存是禁止的,其它一律放行,它才没自杀.) 查杀方法与鸽子类似,不过简单一些: 1.由于这个lexps.exe是用SYSTEM权限运行的,所以只能用IceSword强行终止它. 2.运行regedit.exe,找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\] 删除左边的DDOSServer项. 3.重启系统,显示隐藏文件与系统文件后,删除C:\windows\system32\lexps.exe 2006-08-01 11:13:38
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:35 \| 显示全部短消息资料字号：小中大 2楼也不知道这是一个什么木马
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:36 \| 显示全部短消息资料字号：小中大 3楼图: 附件: 文件名:4224712006731172827.jpg 下载次数:296 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-31 17:36:20 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:37 \| 显示全部短消息资料字号：小中大 4楼图附件: 文件名:4224712006731172924.jpg 下载次数:322 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-31 17:37:17 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:39 \| 显示全部短消息资料字号：小中大 5楼图附件: 文件名:4224712006731173113.jpg 下载次数:260 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-31 17:39:07 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:42 \| 显示全部短消息资料字号：小中大 6楼图附件: 文件名:4224712006731173412.jpg 下载次数:320 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-31 17:42:05 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2006-07-31 17:42 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【炫Oo逍遥oO的贴子】你去看看我的帖子吧我中龙心了 55555``
...........................

地址

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:58 \| 显示全部短消息资料字号：小中大 8楼没人看吗?
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-01 09:40 \| 显示全部短消息资料字号：小中大 9楼用任务管理器无法结束这个进程.到我的群里或者pjf.blogone.net下载IceSword1.18去结束
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2006-08-01 09:44 | 显示全部 短消息资料

字号：小中大 10楼

引用:

【忧郁王子…宝箱的贴子】3楼那里先结束程序。再删除才删掉啊。是不是

...........................

我说过,先结束进程与删除服务项后才能删除文件

<<上一主题|下一主题>>

1 / 2 页

跳转页

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 17:22 \| 显示全部短消息资料字号：小中大 1楼【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒) ++++++++++ 上报瑞星,得病毒名为:Backdoor.Agent.dry 将在18.42.2版本解决木马行为: 运行样本lexps.exe后,SSM拦截lexps.exe多次直接访问物理内存. 添加服务项: DDOSServer= C:\windows\system32\lexps.exe 在HJ日志中表现为: O23 - Service: Windows DDOSServer (DDOSServer) - Unknown owner - C:\windows\system32\lexps.exe 并试图访问网络: 信息:C:\windows\system32\lexps.exe cmdline=C:\windows\system32\lexps.exe -NetSata 感染完成时,样本目录下生成deleteme.bat文件,然后同时与原样本lexps.exe自取短见.企图销毁源木马文件. 根据baohe版主回帖补充:如果发现有调试器或者安全软件拦截它的行为,它会自杀以不被发现.(我测试时用SSM除了访问物理内存是禁止的,其它一律放行,它才没自杀.) 查杀方法与鸽子类似,不过简单一些: 1.由于这个lexps.exe是用SYSTEM权限运行的,所以只能用IceSword强行终止它. 2.运行regedit.exe,找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\] 删除左边的DDOSServer项. 3.重启系统,显示隐藏文件与系统文件后,删除C:\windows\system32\lexps.exe 2006-08-01 11:13:38
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

附件:

文件名:4224712006731172827.jpg 下载次数:296 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(198244); 上传时间:2006-7-31 17:36:20 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:4224712006731172924.jpg 下载次数:322 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(55400); 上传时间:2006-7-31 17:37:17 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:4224712006731173113.jpg 下载次数:260 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(80266); 上传时间:2006-7-31 17:39:07 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:4224712006731173412.jpg 下载次数:320 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(198157); 上传时间:2006-7-31 17:42:05 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】【病毒查杀】关于恶意服务木马lexps.exe的查杀(卡巴斯基不报毒)

文件名:4224712006731172827.jpg

下载次数:296

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-31 17:36:20

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:4224712006731172924.jpg

下载次数:322

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-31 17:37:17

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:4224712006731173113.jpg

下载次数:260

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-31 17:39:07

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:4224712006731173412.jpg

下载次数:320

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-31 17:42:05

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01