找回密码
 入驻
搜索
查看: 26309|回复: 2

新的盗Q木马,请小心了

[复制链接]
发表于 2006-3-27 21:34:55 | 显示全部楼层 |阅读模式
新的盗Q木马是由某论坛发布的,经过测试通过了以下的杀毒软件
江民2006   
更新日期3月16日
瑞星2006   更新日期3月15日
咔吧5.0391
更新日期3月16日
中马后会发现,弹出一个对话框 您的QQ在其他地方上线
只有 “ 确定” 一个选项,这个时候最好的方法是 右击
“确定”
的按钮(虽然没什么反映),然后在QQ设置那里设置
上线(如果你还和好友聊住(对话框还在)就不用了,可以直接去和说话),然后和好友说话叫他们帮改密码。
如果没有反映(QQ里有珊瑚虫的话),打开与他聊天的对话框输入
show:你任意好友的Q号   
他们在你的Q上就
上线了,然后就可以和他们对话帮忙改密码!
无任何进程,
Running
processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
C:\Program
Files\Faronics\Deep Freeze\Install
C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
D:\NetGame\QQ\QQ.exe
C:\Program
Files\Internet
Explorer\iexplore.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Desktop\HijackThis.exe
也无任何后门,
O23
- Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep
Freeze\Install C-0\DF5Serv.exe
O23 - Service: NVIDIA Display Driver
Service
(NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service:
Sicent Network File
Synchronization (sicentnetsync) - 成都吉胜科技有限公司 -
C:\WINDOWS\system32\wxsyncli.exe
可以穿越穿防火墙(ZA,KAP,RISING成功穿越)。
木马采用了一个不常用的加壳工具使得杀软难以识别。
上报瑞星后
3月16日
可以查杀
普通的管理员账户是无法看见的,用system才看的见
下载psexec,然后放入C盘,
输入PsExec
-i -d -s Explorer.exe 
用hj扫描就可以发现
发表于 2006-3-27 21:54:34 | 显示全部楼层
知不知是开那个端口的?
回复

使用道具 举报

发表于 2006-4-1 19:41:09 | 显示全部楼层
好复杂,看不懂啊~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 入驻

本版积分规则

QQ|Archiver|手机版|小黑屋|思明论坛

GMT+8, 2024-12-26 11:11 , Processed in 0.026398 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表