当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
机器狗变种病毒分析解决参考 | |||
2007-12-19 17:39:53 文/孤独更可… 出处:孤独更可靠博客 | |||
1、释放文件方面: 2个SYS文件,其中一个是PE文件,病毒的副本。 wxptdi.sys 77824 字节 fat32.sys 注意啊,这2个的路径都是在C:\windows\system32\下的 2、调用一个P处理tmipo.bat,执行stop sharedaccess命令。 3、控制系统文件svchost,加载在内存中。 4、连接网络先获得下载列表:hxxp://d.93se.com/listo.txt 然后下载木马,释放到c:\Program Files\,命名为: c:\Program Files\lsassu.exe 有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。 5、释放fat32.sys驱动,注册为PciHardDisk。 会访问磁盘底层,修改userinit.exe。但我阻止了~ 其他没跟踪,就直接运行了~主要特征就是上面这些。 解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。 然后删除c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。 注意啊,这2个的路径都是在C:\windows\system32\下的 C:\windows\system32\fat32.sys C:\windows\system32\wxptdi.sys |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |