Board logo

标题: 【03-16】新的盗Q木马 [打印本页]

作者: -十二少-    时间: 2006-3-18 17:32     标题: 【03-16】新的盗Q木马

  新的盗Q木马是由某论坛发布的,经过我的测试通过了以下的杀毒软件
江民2006   更新日期3月16日
瑞星2006   更新日期3月15日
咔吧5.0391 更新日期3月16日
中马后会发现,弹出一个对话框  您的QQ在其他地方上线
只有 “ 确定”  一个选项,这个时候最好的方法是 右击 “确定” 的按钮(虽然没什么反映),然后在QQ设置那里设置
上线(如果你还和好友聊住(对话框还在)就不用了,可以直接去和说话),然后和好友说话叫他们帮改密码。
如果没有反映(QQ里有珊瑚虫的话),打开与他聊天的对话框输入     show:你任意好友的Q号    他们在你的Q上就
上线了,然后就可以和他们对话帮忙改密码!
无任何进程,
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
D:\NetGame\QQ\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Desktop\HijackThis.exe
也无任何后门,
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sicent Network File Synchronization (sicentnetsync) - 成都吉胜科技有限公司 - C:\WINDOWS\system32\wxsyncli.exe
可以穿越穿防火墙(ZA,KAP,RISING成功穿越)。
木马采用了一个不常用的加壳工具使得杀软难以识别。
上报瑞星后  3月16日  可以查杀
普通的管理员账户是无法看见的,用system才看的见
下载psexec,然后放入C盘,
输入PsExec -i -d -s Explorer.exe 
用hj扫描就可以发现




作者: potoho    时间: 2006-3-18 17:53

晕!!我用的就是图中的杀毒软件这么说!!我这不是很危险




欢迎光临 迅雷资源站 (http://leiqu.net/forum/) Powered by Discuz! 6.0.0