瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】阴狠的hgz.exe木马★★★★

123   2  /  3  页   跳转

【原创】阴狠的hgz.exe木马★★★★

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 19:39 | 显示全部 短消息 资料
字号: 11楼

引用:
【ad209的贴子】谢谢闪电风暴,就怕过几天又出来了。报废几台电脑无所谓,可我是怕我的信息泄露啊,那损失就大了...
………………

据测试,此木马没有加载钩子等行为,看不来不像会盗密的东西..
不过我没有仔细看网络连接,也许开个后门?不清楚
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 19:50 | 显示全部 短消息 资料
字号: 12楼

已经发送
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-06 19:56 | 显示全部 短消息 资料
字号: 13楼

引用:
【baohe的贴子】【回复“闪电风暴”的帖子】
hgz.exe
C:\win30.exe
给我发一个。
baohelin@yahoo.com.cn
………………

C:\win30.exe被它自己杀掉了,我找不着
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-07 08:51 | 显示全部 短消息 资料
字号: 14楼

谢谢baohe版主.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 09:12 | 显示全部 短消息 资料
字号: 15楼

【回复“零碎”的帖子】我们发的是病毒样本,怎么?你要么??
解决方法我已经帖出来了
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 10:46 | 显示全部 短消息 资料
字号: 16楼

当然,这只是一个下载器,下载了C:\win30.exe后,就把任务交给它了.
cmd与net只是注册服务用的
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 11:53 | 显示全部 短消息 资料
字号: 17楼

确切地说,应该是自启动批处理
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 15:37 | 显示全部 短消息 资料
字号: 18楼

引用:
【黑灯黑火的贴子】有个问题?
为什么这个new123.sys 进入我的电脑,却没有运行?
如你所说,下载下win30.exe后,允许它执行,它就创建了一个全局钩子(如下图)





然后就没有动静了~~
也没有看到这个驱动有动作~~
但我到C:\Program Files\Internet Explorer\PLUGIN下却看到这个驱动已经在这里了~
在Autoruns里也没有看到这个驱动?
难道它必须要重启后才能有用吗?(我是在影子里测试的~~一旦重启,就什么都没了~~)
另附上其它图几张~









因为这个驱动没有加载,所以,我很轻易的删除了它们(只是不知道它在注册表里到底还有没有什么动作,~~)
………………



我也是在影子下测试的.
因为PG拦截了它的全局钩子,导致没有感染完全.

在测试过程中,除了底层访问外,都应该允许,这样才能看出木马都做了些什么
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 15:43 | 显示全部 短消息 资料
字号: 19楼

IS的图中,红字的表示有问题
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-08 15:44 | 显示全部 短消息 资料
字号: 20楼

引用:
【闪电风暴的贴子】


我也是在影子下测试的.
因为PG拦截了它的全局钩子,导致没有感染完全.

在测试过程中,除了底层访问外,都应该允许,这样才能看出木马都做了些什么
………………

所以,我个人不建议使用PG来监控,相反,SSM569版倒不错,比SSM580的监控详细得多
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT