瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件

1   1  /  1  页   跳转

【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件

收藏
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-23 21:23 | 显示全部 短消息 资料
字号: 1楼

【分享】不知各位有没有碰到过随机出现的6位字母+2位数字的dll木马文件

近期,我们公司里发现了N多这样的病毒。
目前已发现的特点是,
启动项里出现该dll文件,该dll植入explorer.exe进程。该文件在system32目录下。还会定期增加。
总是在drivers目录生成同名。sys并注册为驱动服务,该服务在windows状态下无法杀除
同时有一个随机名的服务和一个驱动服务生成,估计是保护和生成新dll的。头大的是每次产生后名称也都不一样。

杀毒软件只能查出dll,估计是利用特征码。还有。sys只能部分发现,发现后显示为rootkits.唉,看来rootkits确实是个很厉害的东东。

我杀除的方法是先用dos启动,把dll和sys的文件干掉。
然后通过查看管理的事件记录找出那个随机名的服务。干掉。
最后那个驱动服务可以借助一些工具软件查出来。

东西虽然是干掉了,但估计还是有遗漏。所以贴出来,希望各位高手补遗。呵呵
最后编辑2007-06-23 22:42:55.310000000
分享到:
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-23 21:37 | 显示全部 短消息 资料
字号: 2楼

Dos也不是万能。我碰到过dos下也删不掉,dir看不到,del,ren说没有,可md它说有重名,呵呵,还不知道怎么搞得

顺大便说说桌面媒体,它的那个Ntdll32。dll和mspcidrv.sys del不了,但可以ren呵呵,我觉得它应该算是利用了rootkits,但好像还不算复杂。
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-23 21:47 | 显示全部 短消息 资料
字号: 3楼

Rootkits特点在于,它本身没有任何恶意代码,我估计杀毒软件很难把它识别出来。但它可以获得系统最高权限,想干吗就干吗。如果是黑客,装了病毒反而暴露了自己。我觉得如果我是黑客我跟本不会去搞啥病毒。一般看中的是驱动服务。从目前我发现的几个来说,可以把它们看成是利用了驱动服务的木马。更可怕的是,没有软件防火墙能防住。你即使用了安全模式也照样启动,因为驱动总是要加载的。难就是难在发现它。我只好用最笨的办法,牢记drivers目录大小和文件。不过,还有数据流这个东东。啊啊啊啊啊啊啊啊,看来大家以后都要用只读不写的硬盘了。呵呵
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-23 22:34 | 显示全部 短消息 资料
字号: 4楼

NTFS数据流,网上可以找到好多
不过我最近发现,数据流文件应该可以直接写入启动项里,不过还在研究中
gototop
 
小职员online
头像
拙长孩提狮
  • 帖子:87
  • 注册: 2006-12-12
  • 来自:
发表于: 2007-06-23 22:42 | 显示全部 短消息 资料
字号: 5楼

引用:
我在technet,online mp3会听到不该听到的东西,这也是数据流的用处?
quote]
这是音频流,呵呵
NTFS数据流简单的说是寄生在普通文件下面的隐藏文件,windows下基本上不能被识别,被关联的文件大小都没变化哦,但它确实存在。就是因为这一点,可以被写病毒的人来利用。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT