|
|
新的盗Q木马是由某论坛发布的,经过测试通过了以下的杀毒软件
江民2006
更新日期3月16日
瑞星2006 更新日期3月15日
咔吧5.0391
更新日期3月16日
中马后会发现,弹出一个对话框 您的QQ在其他地方上线
只有 “ 确定” 一个选项,这个时候最好的方法是 右击
“确定”
的按钮(虽然没什么反映),然后在QQ设置那里设置
上线(如果你还和好友聊住(对话框还在)就不用了,可以直接去和说话),然后和好友说话叫他们帮改密码。
如果没有反映(QQ里有珊瑚虫的话),打开与他聊天的对话框输入
show:你任意好友的Q号
他们在你的Q上就
上线了,然后就可以和他们对话帮忙改密码!
无任何进程,
Running
processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
C:\Program
Files\Faronics\Deep Freeze\Install
C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
D:\NetGame\QQ\QQ.exe
C:\Program
Files\Internet
Explorer\iexplore.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Desktop\HijackThis.exe
也无任何后门,
O23
- Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep
Freeze\Install C-0\DF5Serv.exe
O23 - Service: NVIDIA Display Driver
Service
(NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service:
Sicent Network File
Synchronization (sicentnetsync) - 成都吉胜科技有限公司 -
C:\WINDOWS\system32\wxsyncli.exe
可以穿越穿防火墙(ZA,KAP,RISING成功穿越)。
木马采用了一个不常用的加壳工具使得杀软难以识别。
上报瑞星后
3月16日
可以查杀
普通的管理员账户是无法看见的,用system才看的见
下载psexec,然后放入C盘,
输入PsExec
-i -d -s Explorer.exe
用hj扫描就可以发现 |
|
IP卡
狗仔卡
发表于 2006-3-27 21:34:55
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2006-3-27 21:54:34
