绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys
2007-11-27 13:32
295 查看
绕过IceSword文件检测的Trojan-Downloader.Win32.Hmir.hw/Trojan.Win32.Mnless.zpc/ojj6erv.sys
endurer 原创
2007-11-27 第1版
一位网友说他前两天浏览一个文学网站时中毒,现在电脑每天都能用杀毒软件扫描出一些网游盗号木马、QQ盗号木马等病毒。现在开机出现提示框,提示找不到文件f5bk37q187.dll。IE首页被改为 hxxp://***.k*zd**h.com/?g。让偶帮忙检查。
下载 pe_xscan 扫描 log,由于刚刚用杀毒软件进行了系统扫描,所以在 log 中只发现一些启动项:
O23 - 服务: 0jj6erv (0jj6erv) - System32/DRIVERS/0jj6erv.sys(引导)
O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导)
O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/pcidisk.sys(手动)
O23 - 服务: Tcpip (TCP/IP Protocol Driver) - system32/DRIVERS/tcpip.sys | Microsoft? Windows? Operating System | 5.1.2600.2892 | TCP/IP Protocol Driver | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2892 (xpsp.060420-0256) | Microsoft Corporation| ? | tcpip.sys | tcpip.sys(系统)
---/
用winRAR检查文件,发现O23 - 服务: Tcpip (TCP/IP Protocol Driver)中 tcpip.sys这个文件的最后修改日期是2007-11-23号,在c:/windows/system32/drivers 发现了文件 TCPIP.SYS.ORIGINAL,经比较:
C:/WINDOWS/system32/drivers>fc tcpip.sys TCPIP.SYS.ORIGINAL
正在比较文件 TCPIP.SYS 和 TCPIP.SYS.ORIGINAL
00000130: 92 F6
00000131: EC EB
0004F7C6: 00 64
0004F7C7: 01 00
发现两个文件不一样。
可惜 http://purpleendurer.ys168.com 不知什么原因打不开,未能下载 FileInfo 提取文件信息。
把 tcpip.sys 打包备份,然后用网友电脑中原来存有的 IceSword 1.12 英文版强删除,Windows系统提示文件保护时取消,然后把 TCPIP.SYS.ORIGINAL 改名为 tcpip.sys。
在用瑞星卡卡安全助手删除前3个 O23 项时,发现第1个删了又重生。但用 IceSword 1.12 没有在c:/windows/system32/drivers发现文件 0jj6erv.sys,不过在 Kernel Module 列表中发现了 0jj6erv.sys……
下载了 IceSword 1.22 中文版,还是看不到磁盘上的文件,也无法删除 其服务启动项,禁用也不行。
可惜bat_do 无法下载,没法删除。
重启电脑到安全模式,换了一个用户登录,再次启动IceSword 1.22 中文版,终于在c:/windows/system32/drivers 看到了 0jj6erv.sys,先复制了一个打包备份,然后强制删除。
重启电脑,再用瑞星卡卡安全助手删除O23 - 服务: 0jj6erv (0jj6erv),搞定。
开机也不再提示找不到文件 f5bk37q187.dll了。
由于 0jj6erv.sys 作驱动程序被windows加载后会隐藏自身在磁盘上的文件,所以进入桌面后,杀毒软件也无法扫描出来,看来对付这类病毒,得用开机扫描才行了。
文件说明符 : D:/test/ojj6erv.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 13:10:8
修改时间 : 2007-11-27 13:10:26
访问时间 : 2007-11-27 13:10:35
大小 : 23104 字节 22.576 KB
MD5 : a2bad1749c3cf2c7d7190b7f140a9619
SHA1: 6C382CA9F73F7E0CEE5F342C5CC4ED0F82C094A8
CRC32: 1579b0b3
Kaspersky 已检测到: 木马程序 Trojan-Downloader.Win32.Hmir.hw 文件: D:/test/ojj6erv.sys.rar/ojj6erv.sys
瑞星报为 Trojan.Win32.Mnless.zpc
endurer 原创
2007-11-27 第1版
一位网友说他前两天浏览一个文学网站时中毒,现在电脑每天都能用杀毒软件扫描出一些网游盗号木马、QQ盗号木马等病毒。现在开机出现提示框,提示找不到文件f5bk37q187.dll。IE首页被改为 hxxp://***.k*zd**h.com/?g。让偶帮忙检查。
下载 pe_xscan 扫描 log,由于刚刚用杀毒软件进行了系统扫描,所以在 log 中只发现一些启动项:
/--- pe_xscan 07-11-25 by Purple Endurer 2007-11-27 12:23:32 Windows XP Service Pack 2(5.1.2600) 管理员用户组
O23 - 服务: 0jj6erv (0jj6erv) - System32/DRIVERS/0jj6erv.sys(引导)
O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导)
O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/pcidisk.sys(手动)
O23 - 服务: Tcpip (TCP/IP Protocol Driver) - system32/DRIVERS/tcpip.sys | Microsoft? Windows? Operating System | 5.1.2600.2892 | TCP/IP Protocol Driver | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2892 (xpsp.060420-0256) | Microsoft Corporation| ? | tcpip.sys | tcpip.sys(系统)
---/
用winRAR检查文件,发现O23 - 服务: Tcpip (TCP/IP Protocol Driver)中 tcpip.sys这个文件的最后修改日期是2007-11-23号,在c:/windows/system32/drivers 发现了文件 TCPIP.SYS.ORIGINAL,经比较:
C:/WINDOWS/system32/drivers>fc tcpip.sys TCPIP.SYS.ORIGINAL
正在比较文件 TCPIP.SYS 和 TCPIP.SYS.ORIGINAL
00000130: 92 F6
00000131: EC EB
0004F7C6: 00 64
0004F7C7: 01 00
发现两个文件不一样。
可惜 http://purpleendurer.ys168.com 不知什么原因打不开,未能下载 FileInfo 提取文件信息。
把 tcpip.sys 打包备份,然后用网友电脑中原来存有的 IceSword 1.12 英文版强删除,Windows系统提示文件保护时取消,然后把 TCPIP.SYS.ORIGINAL 改名为 tcpip.sys。
在用瑞星卡卡安全助手删除前3个 O23 项时,发现第1个删了又重生。但用 IceSword 1.12 没有在c:/windows/system32/drivers发现文件 0jj6erv.sys,不过在 Kernel Module 列表中发现了 0jj6erv.sys……
下载了 IceSword 1.22 中文版,还是看不到磁盘上的文件,也无法删除 其服务启动项,禁用也不行。
可惜bat_do 无法下载,没法删除。
重启电脑到安全模式,换了一个用户登录,再次启动IceSword 1.22 中文版,终于在c:/windows/system32/drivers 看到了 0jj6erv.sys,先复制了一个打包备份,然后强制删除。
重启电脑,再用瑞星卡卡安全助手删除O23 - 服务: 0jj6erv (0jj6erv),搞定。
开机也不再提示找不到文件 f5bk37q187.dll了。
由于 0jj6erv.sys 作驱动程序被windows加载后会隐藏自身在磁盘上的文件,所以进入桌面后,杀毒软件也无法扫描出来,看来对付这类病毒,得用开机扫描才行了。
文件说明符 : D:/test/ojj6erv.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 13:10:8
修改时间 : 2007-11-27 13:10:26
访问时间 : 2007-11-27 13:10:35
大小 : 23104 字节 22.576 KB
MD5 : a2bad1749c3cf2c7d7190b7f140a9619
SHA1: 6C382CA9F73F7E0CEE5F342C5CC4ED0F82C094A8
CRC32: 1579b0b3
Kaspersky 已检测到: 木马程序 Trojan-Downloader.Win32.Hmir.hw 文件: D:/test/ojj6erv.sys.rar/ojj6erv.sys
瑞星报为 Trojan.Win32.Mnless.zpc
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用伪造内核文件来绕过IceSword的检测
- [转贴]利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- [转贴]利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测1
- [转贴]利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- [转贴]利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- 利用伪造内核文件来绕过IceSword的检测
- i春秋:警惕您站上的文件内容检测绕过类上传漏洞
- 文件上传检测的多种绕过姿势
- 攻击者是如何将PHP Phar包伪装成图像以绕过文件类型检测的(推荐)
- 文件上传检测的多种绕过姿势
- 解析漏洞讲解、filepath、content-type绕过检测上传文件