前几天遇见的局域网病毒小分析
本帖最后由 toolpc 于 2010-10-8 23:13 编辑几天前。内网突然有个人上网。说密保卡登陆不了。我在诧异。。情况是游戏登陆密保卡的框不显示。但是有字符。。机器系统是优化过的,开机USERINIT做了改路径.SYSTEM下的所有DIREVER文件包都做了最小权限。只给本机ADMIN。心想没事。。但是悲剧发生了。。那人换了机器一上号就2分内。号被洗了。。郁闷。。我BEIKESCAN一下哇靠几十个。。后怕。开机运行里加了BEIKESCAN。EXE没个上网的都扫。就听不停有人叫。。发现个共同点就是那个交换机下只要有一台下面机器所有的都中毒。。文件位置处于拥护TEMP里。明显。不用穿透和在实体文件。。急啊。。查找方法无果。。把几台中毒的先全盘GHO了。早上全体发包做了系统。。晚上准备了下。查资料。跟鬼影的升级版像类STUXNET性质。他大爷。 最后做了下简单处理。现在还在怕。
具体方法。
打开所有隐藏设置C:\Documents and Settings\Administrator>cacls C:\Documents and Settings\Administ
rator\Local Settings\Temp 的TEMP设置权限只能ADMIN管理员读写修改。。这个修改如果你只玩游戏不用解压缩可以连修改都去了。这里全部都是`~开头的TMP后缀病毒名字随机。。C盘产生的也都不固定现杀软都能报。。
C:\Program Files\WINDOWS NT"\HYBERTRMER.EXE这个是病毒下载文件。。作用肯定是NT服务启动了。(家庭拥护当时一定要查看开机启动服务里的项目确定没有D盘开始或者HYBERTRM开的服务项/当然不排除在MBR里改了引导。。当然我没发现此毒有这改MBR的东西。。做个免疫处理。。虽然看到了但是提取了不了他。。后来网上也查到相关资料了。
然后通过资料。删除开始-程序=附件=里的通讯里的C:\Documents and Settings\Administrator\「开始」菜单\程序\附件\通讯\超级终端(网上看的)我机器里根本没。。
。删除根目录的debug.exe cacls.exeEDIT。COM 设置WINLOGON的权限只能ADMIN和SYSTEM这俩用户用。
我在路由里封了俩IP但是由于不确定不敢随便发,等待慢慢查。
权限。就是打开工具栏目-查看。。里的简单共享勾去了后。右键任何一个盘或者文件夹那的安全选项。。点高级。把继承的勾去掉提示就点删除后再高级查找拥护。添加你现在的管理员名字的那个用户。
到此。暂时无见有传染和中毒情况。。随便步骤做的都是很被动和无用的防护。但是还有点用。给大家分享下。。
除超级终端那个程序删除外。还有
C:\Program Files\Outlook Express这个文件包带文件2一起删除。虽然我不知道什么用但是我发现里面有东西用了。。。
额,没分析透啊, 不是很懂 看看增长经验 不懂。等高手来盾。{:1_927:} 我先看下 再了解具体情况 不是很懂 看看增长经验 学习了 增长见识了 怎么没有样本。。。 我也来学习下 学习学习 不是很懂 怎么判定哪个要删除的啊? 能说说依据嘛~谢谢 怎么查杀U盘的病毒谁知道啊! 过来学习的,呵呵
页:
[1]
2