ps:我在服务器上也发现了这个,晕,恼死了!!
我可以确定,有人在ui区放出了ROOTKIT木马
我使用正版的卡巴斯基家庭版,以及ewido均无反应
发了文件样本给瑞星
结果为病毒,且现在版本的瑞星,卡巴斯基,EWIDO nod32均无法查杀
在主流杀毒软件中未发现能查到此木马的
此木马会生成一个winlogon进程,注意:无扩展名,有扩展名的是正常系统进程
还有一个iexplore.exe,为隐藏进程,【【【WIN XP进程管理器,XX优化大师,XX兔子均无法看到】】】
----------------------------------------------------
手动杀法
下载一个icesword,请去作者的blog下载,其余地方可能有木马
选进程项,若无红色进程,恭喜,您没有中毒
为了更严格的测试,查看消息钩子
【【【【注意】】】
任何类型属于WH_MOUSE,wh_keyboard,【均有木马可能】
进入服务项,如有任何红色字体显示的服务,100%木马,不是木马我吃了显示器,任何一个正当的服务都不会用隐藏方式
-------------------------
在icesword下,同时终结winlogon和iexplore进程
进入C:\Program Files\internet explorer\iexplore.exe,杀掉,然后winxp修复上一个好的Ie
进入c:\windows\system\winlogon,杀掉【注意:先杀这个,否则上一个会再起来】
重启,如果is检测无红字进程,无WH_MOUSE,wh_keyboard型钩子(项目前有标),无红色服务,即清理干净
-----------------------------------------------
私以为,最近去duowan的人又会有一大批被盗
那帖,跟帖未发现病毒的就有50-60人
duowan地方实在危险,那帖是血精灵的模型包
一个文件压缩了3次,第一层是正常的包
第二层是一个exe自解压文件,使用了自运行函数,你只要点了exe就会中病毒,第三层是病毒文件和血精灵模型包
-------------------------------------------
注:骗过1.2版 icesword的技术已经实现,我不保证此技术不泄漏,但is检测钩子还是很一流,任何木马都要挂钩子。
ssm可以查看到此软件运行记录
,Powered By Z-Blog 1.8 Spirit Build 80710
