鸿 网 互 联 www.68idc.cn

警惕最近横行的磁碟机。推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:27
C:\WINDOWS\system32\Com\lsass.exe 93696 字节 C:\WINDOWS\system32\Com\smss.exe 40960 字节 C:\WINDOWS\system32\Com\netcfg.000 16384 字节 C:\WINDOWS\system32\Com\netcfg.dll 16384 字节C:\WINDOWS\system32\1878253.log 93696 字节(随机) C:\WINDOW
  C:\WINDOWS\system32\Com\lsass.exe 93696 字节
C:\WINDOWS\system32\Com\smss.exe 40960 字节
C:\WINDOWS\system32\Com\netcfg.000 16384 字节
C:\WINDOWS\system32\Com\netcfg.dll 16384 字节   C:\WINDOWS\system32\1878253.log 93696 字节(随机)
C:\WINDOWS\system32\dnsq.dll 32256 字节   3、删除组策略限制的注册表项:   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer   4、删除:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\   5、破坏安全模式,删除:   SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}   6、防止病毒体被重定向,删除:   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   (禁止写入)   7、释放驱动C:\NetApi000.sys(\Device\NetApi000)恢复SSDT Hook。   最后删除自身。导致HIps和主动防御失效。   8、修改注册表,开启自动播放:   NoDriveTypeAutoRun DWORD: 145   9、删除服务项(如果有):   SYSTEM\CurrentControlSet\Services\KSysCall
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService   10、调用cacls.exe,设置\system32\com 和病毒文件的权限为Everyone:F。   11、\system32\com下启动smss.exe和lsass.exe,使用进程守护。   当一方被结束时,另一个则将其重新启动。   12、C:\windows\system32\dnsq.dll安装全局钩子,注入所有运行中的进程。   13、发送垃圾消息到如下窗口,导致程序无法正常响应,处于假死状态:   avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web 诊

SREng 介绍
升级
微点



kv

狙剑
金山
瑞星 ..........   14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。   15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。   16、查找网页格式文件,加入一段框架:   [url]http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70[/url]   解密得:[url]http://js.k0102.com/01.asp[/url]   该地址会检测referer,返回的来源地址如果有效,则执行:hxxp://js.k0102.com/a11.htm   感谢刺猬大大的指点。   17、ping.exe -f -n 1 [url]www.baidu.com[/url]。如果网路通畅,调用IE访问:   hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html   每隔一段时间执行一次。垃圾广告啊。   18、在可用磁盘生成:pagefile.exe和Autorun.inf,并每隔几秒检测一次。   19、修改注册表:   SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden   把REG_SZ, "checkbox"值填充垃圾数据,破坏“显示系统文件”功能。   20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。   如被修改则重新破坏。   21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。   支持Rar压缩包内可执行程序的感染 - -!   22、“高科技”:   使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时   这时候dnsq.dll会将C盘下的某某.log拷贝至:   C:\Documents and Settings\All Users\「开始」菜单\程序\启动\   格式差不多是:~.exe.某某.exe   最后计算机重启后,等病毒完全释放,立刻就删除这个:~.exe.某某.exe   哈哈,真是天衣无缝啊。   其实这种垃圾技术,只要冷启动就可以对付了。   23、尝试删除dnsq.dll的时候,它会立刻重启计算机。由第22点,关机前写入病毒。   造成一个死循环。   24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去。   因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删除成功   25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。   那么所谓的免疫文件夹就失效了,其中包括歧义文件夹。   26、连接http://**.k0***.com/go.asp计算感染人数并跳转http://**.k0***.com/goto.htm下载木马。   过几天无聊了再去测试.. - -   另外附上安铁偌的磁碟机专杀:   [url]http://www.kingzoo.com/tools/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/Auk_diskGenKiller.exe[/url]     个人防护建议:   1、打齐系统补丁。   2、安装杀毒软件和防火墙,并开启自动升级。   3、不浏览yellow网站,下载软件时尽量到大网站或官方。
网友评论
<