神马文学网首杀木马
来源:百度文库 编辑:神马文学网 时间:2024/04/28 01:13:06
新马通缉令:“红心大盗”图片木马
杀毒软件测试:
瑞星(病毒库更新 2008.04.20):未检测出木马,监控系统被劫持。
卡巴斯基(病毒库更新 2008.04.20):监控系统被劫持,但木马在内存中运行时有提示,并删除了未加密的副本probell.exe文件。
McAfee(病毒库更新 super data5260):木马运行时候被查杀,但监控系统被劫持需重新启动恢复。
江民(病毒库更新 2008.04.20):木马运行时未被删除但木马无法正常运行,监控系统正常(木马劫持列表中无江民)。
犯罪纪录:很多人都爱用红心作为QQ头像,“红心大盗”就是在这期间发布的一款图片木马。木马利用红心国旗图加载木马在网页上传播,危害范围非常广大。
木马分析:当用户拷贝红心国旗图时,木马随之隐藏运行,并释放一个DLL程序植入到EXPLORER.EXE中,木马会破坏常见的安全软件的监控程序,大大降低被感染电脑的安全性。木马在后台秘密记录用户的键盘操作和鼠标操作,窃取用户输入的机密信息,并发送给黑客。与黑客指定的服务器建立网络连接,被感染的计算机被黑客远程完全控制。黑客可在被感染的计算机上进行任意文件操作、进程操作、注册表操作、服务操作、屏幕监控、摄像头抓图、命令操作等,给用户的安全、个人隐私,甚至商业机密造成严重威胁。木马能迅速查找电脑中是否安装有安全软件,并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件,一旦被劫持,这些安全软件就无法运行了。
木马主体:木马运行后自身复制到被感染计算机系统时会将病毒文件_uninsep.bat、pro.exe和pro.dll释放到系统盘的根目录下,同时替换了kernel32.dll文件,并在系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe(未加密代码),木马利用8088端口自动连接黑客服务器。它还修改系统注册表,创建名为“Scager”的系统服务,实现开机自启动。该木马具有自我删除功能,当它运行结束后,将代码删除,只剩一个正常图片。
解决方案:
1.利用天网防火墙过滤8088端口访问外网。
2.在安全模式下删除probell.exe、pro.exe和pro.dll文件。
3.利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件:
用Windows XP安装光盘启动电脑,按“R”键进入启动故障恢复平台,使用以下命令修复(F盘为光驱目录,根据实际情况指定):
cd system32
ren kernel32.dll kernel32.dl
expand F:\i386\kernel32.dl_
exit
4.清理“%Documents and Settings%\All Users\「开始」菜单\程序\启动\” 所有内容。
5.Windows XP下,点击“开始→运行”,输入“msconfig”,停止Scager服务。
杀毒软件测试:
瑞星(病毒库更新 2008.04.20):未检测出木马,监控系统被劫持。
卡巴斯基(病毒库更新 2008.04.20):监控系统被劫持,但木马在内存中运行时有提示,并删除了未加密的副本probell.exe文件。
McAfee(病毒库更新 super data5260):木马运行时候被查杀,但监控系统被劫持需重新启动恢复。
江民(病毒库更新 2008.04.20):木马运行时未被删除但木马无法正常运行,监控系统正常(木马劫持列表中无江民)。
犯罪纪录:很多人都爱用红心作为QQ头像,“红心大盗”就是在这期间发布的一款图片木马。木马利用红心国旗图加载木马在网页上传播,危害范围非常广大。
木马分析:当用户拷贝红心国旗图时,木马随之隐藏运行,并释放一个DLL程序植入到EXPLORER.EXE中,木马会破坏常见的安全软件的监控程序,大大降低被感染电脑的安全性。木马在后台秘密记录用户的键盘操作和鼠标操作,窃取用户输入的机密信息,并发送给黑客。与黑客指定的服务器建立网络连接,被感染的计算机被黑客远程完全控制。黑客可在被感染的计算机上进行任意文件操作、进程操作、注册表操作、服务操作、屏幕监控、摄像头抓图、命令操作等,给用户的安全、个人隐私,甚至商业机密造成严重威胁。木马能迅速查找电脑中是否安装有安全软件,并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件,一旦被劫持,这些安全软件就无法运行了。
木马主体:木马运行后自身复制到被感染计算机系统时会将病毒文件_uninsep.bat、pro.exe和pro.dll释放到系统盘的根目录下,同时替换了kernel32.dll文件,并在系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe(未加密代码),木马利用8088端口自动连接黑客服务器。它还修改系统注册表,创建名为“Scager”的系统服务,实现开机自启动。该木马具有自我删除功能,当它运行结束后,将代码删除,只剩一个正常图片。
解决方案:
1.利用天网防火墙过滤8088端口访问外网。
2.在安全模式下删除probell.exe、pro.exe和pro.dll文件。
3.利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件:
用Windows XP安装光盘启动电脑,按“R”键进入启动故障恢复平台,使用以下命令修复(F盘为光驱目录,根据实际情况指定):
cd system32
ren kernel32.dll kernel32.dl
expand F:\i386\kernel32.dl_
exit
4.清理“%Documents and Settings%\All Users\「开始」菜单\程序\启动\” 所有内容。
5.Windows XP下,点击“开始→运行”,输入“msconfig”,停止Scager服务。
首杀木马
木马查杀大全
半手工"清除"病毒木马实战 - 木马专杀工具
在线杀木马,效果不错.
万能木马查杀方法
杀木马的好方法
木马免杀几个方法
精通:电脑木马查杀大全
木马专家2009 Build 0901┊查杀木马/监控内存非法的程序
360安全中心评出近期“三大流行木马” - 木马专杀工具 - 360百科
木马查杀知识和相关杀软
木马查杀知识和相关杀软
疱丁解马教程-木马查杀深度剖析
手工查杀木马和病毒 作网络安全缉毒高手
360顽固木马专杀大全免疫操作方法
精通:电脑木马查杀大全 (转)
“木马”的自动加载原理和查杀方法
旋转木马
木马女孩
木马命令
清除木马
认识木马
木马危害
[揭开DLL木马神秘面纱-删除木马