-十二少- 2006-3-18 17:32
【03-16】新的盗Q木马
新的盗Q木马是由某论坛发布的,经过我的测试通过了以下的杀毒软件
江民2006 更新日期3月16日
瑞星2006 更新日期3月15日
咔吧5.0391 更新日期3月16日
中马后会发现,弹出一个对话框 您的QQ在其他地方上线
只有 “ 确定” 一个选项,这个时候最好的方法是 右击 “确定” 的按钮(虽然没什么反映),然后在QQ设置那里设置
上线(如果你还和好友聊住(对话框还在)就不用了,可以直接去和说话),然后和好友说话叫他们帮改密码。
如果没有反映(QQ里有珊瑚虫的话),打开与他聊天的对话框输入 show:你任意好友的Q号 他们在你的Q上就
上线了,然后就可以和他们对话帮忙改密码!
无任何进程,
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
D:\NetGame\QQ\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Desktop\HijackThis.exe
也无任何后门,
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sicent Network File Synchronization (sicentnetsync) - 成都吉胜科技有限公司 - C:\WINDOWS\system32\wxsyncli.exe
可以穿越穿防火墙(ZA,KAP,RISING成功穿越)。
木马采用了一个不常用的加壳工具使得杀软难以识别。
上报瑞星后 3月16日 可以查杀
普通的管理员账户是无法看见的,用system才看的见
下载psexec,然后放入C盘,
输入PsExec -i -d -s Explorer.exe
用hj扫描就可以发现
[img]http://www.2dai.com/forum/attachments/month_0603/0_1XSIrE01DsO5.jpg[/img]
[img]http://www.2dai.com/forum/attachments/month_0603/2_xUECvjPkWCos.jpg[/img]
[img]http://www.2dai.com/forum/attachments/month_0603/4_JK5G1JqXGNaU.jpg[/img]
[img]http://www.2dai.com/forum/attachments/month_0603/1_VjfQ87oICezv.jpg[/img]
potoho 2006-3-18 17:53
晕!!我用的就是图中的杀毒软件这么说!!我这不是很危险