請問是否只要是木馬型的病毒在工作管理員都一定看得到?



贊助商連結


頁 : 1 [2]

f1driver
2007-03-15, 08:58 AM
藏在核心程式小弟功力很差不能給你答案
不過小弟有碰到就是了....

另外拿我上面說的driver.exe為例

上面說的driver.exe就純粹只是寫入登錄值

這個是這樣

他的特性是病毒架構完成後
會產生
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe

C:\WINDOWS\svchost.com
C:\WINDOWS\cmd.com

會修改HKCR\exefile\shell\open\command中的default為wuaucll.exe "%1" %*"
修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的Shell為xplorer.exe wuaucll.exe
另外會修改
然後driver.exe和wuaucll.exe在啟動程序後
兩者會互相檢查
當其中一個程序被卸載的時候另一個馬上就將卸載的程序補上
補的速度非常快.........這邊有說一下
當初第一次碰到這個木馬的時候
本來想使用taskkill指令製作批次檔來靠電腦處理速度一次兩個程序一起卸載
後來製作好批次檔執行之後結果就開始了無限回圈:|||: .....
程序補上的速度比用批次檔刪的速度還快...更別提開工作管理員結束了..

其中wuaucll.exe每五秒(印象之前看到是寫五秒)會重新寫入上述修改的登錄值
所以程序沒卸載的狀況下修改登錄值後就馬上被寫回去

不過我是有看過有人用匯入登錄檔的方式之後然後直接按reset的:|||:

如果說登錄值沒有修改回去直接將那兩個檔案刪除的話
會造成很多exe檔案無法執行......

這種的光靠工作管理員和檔案總管要殺還蠻難的說

哦~!那這種病毒就蠻可惡的,小弟還沒碰過這麼惡劣的病毒
不過這種病毒主要威脅是什麼?發作時會有什麼危險?
這也是屬於木馬型的病毒之一嗎?

贊助商連結


rien
2007-03-15, 04:26 PM
請用SREng做一次SmartScan,然後將結果存成log檔,接著檢查Running Processes就曉得有什麼程序在跑,所有injection情形都可以看得一清二楚

sylovanas
2007-03-15, 05:27 PM
哦~!那這種病毒就蠻可惡的,小弟還沒碰過這麼惡劣的病毒
不過這種病毒主要威脅是什麼?發作時會有什麼危險?
這也是屬於木馬型的病毒之一嗎?

威脅喔....這個好像是下載器的樣子
幫你下載更多木馬到你的電腦...印象沒錯的話啦
好像有人說會盜即時通訊帳密,不過這個要高手對檔案做解析才知道了....
有興趣玩看看嗎?我印象樣本還在有興趣我就去找找
雖然這個也已經蠻久了只要沒變種應該都抓的到...
不過這幾天還是有看到有人中獎,蠻神奇的他們都有裝防毒軟體
這個也很舊了照道理來說這個病毒啟動了應該會叫才對
可是還是中了.....納悶中。