1   1  /  1  页   跳转

一个多线程插入的木马taskmg.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:05 | 显示全部 短消息 资料
字号: 1楼

一个多线程插入的木马taskmg.exe

现在流行插入系统核心进程的木马。还大多是“多线程插入”。一般的查杀方法多不凑效。建议朋友们学习/熟悉一下SSM的使用吧。

这个木马类似于那个“变态的灰鸽子”。其主体文件为taskmg.exe。此马植入系统后,插入所有系统进程。与鸽子不同的是,这个木马还有一个更烦人的地方——每秒钟都在写注册表!
卡巴斯基2006年5月13日的病毒库依然不报这只讨厌的木马。
我制服它,还是用SSM。
1、在SSM的“规则”中添加两条规则,禁止其.exe和.dll文件加载(图1),并将SSM设置为“自动加载”。
2、重启系统。删除其注册表项(图2-3)。
3、删除其.exe文件(图4)。
4、删除其.dll文件(图5)。

图1

附件附件:

下载次数:383
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-13 11:05:05
描述:
预览信息:EXIF信息



最后编辑2006-05-14 21:53:29
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:05 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:333
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-13 11:05:32
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:05 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:360
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-13 11:05:49
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:06 | 显示全部 短消息 资料
字号: 4楼

图4

附件附件:

下载次数:402
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-13 11:06:13
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:06 | 显示全部 短消息 资料
字号: 5楼

图5

附件附件:

下载次数:400
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-13 11:06:44
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 11:14 | 显示全部 短消息 资料
字号: 6楼

引用:
【zydyj的贴子】把我吓了一下
taskmg.exe,我看成,taskmgr.exe了
我就是说,这个是,任务管理器 的进程

...........................

木马常用这些似是而非的“障眼法”欺骗中招者。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 19:53 | 显示全部 短消息 资料
字号: 7楼

引用:
【花落花又开的贴子】【回复“baohe”的帖子】
可以用IS干掉么?或是要从注册表先下手?
...........................

这只马运行后,几乎每秒钟都在写注册表。
你删的速度绝对没它写得快。
另外,它插入了所有系统进程。用IS,估计没法对付它。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-13 19:56 | 显示全部 短消息 资料
字号: 8楼

引用:
【破轮子的贴子】我想看看这个木马,请baohe版主把样本发到我的邮箱adzhujun@gmail.com 非常感谢!
...........................

样本已经发到adzhujun@gmail.com
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-14 14:05 | 显示全部 短消息 资料
字号: 9楼

引用:
【友好人士的贴子】如果插入了SSM的进程还有办法吗?
...........................

我估计它没机会插入SSM

附件附件:

下载次数:182
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-14 14:05:42
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT