绕过IceSword文件检测的Trojan-Downloader.Win32.Hmir.hw/Trojan.Win32.Mnless.zpc/ojj6erv.sys

endurer 原创
2007-11-27 第1

一位网友说他前两天浏览一个文学网站时中毒,现在电脑每天都能用杀毒软件扫描出一些网游盗号木马、QQ盗号木马等病毒。现在开机出现提示框,提示找不到文件f5bk37q187.dll。IE首页被改为 hxxp://***.k*zd**h.com/?g。让偶帮忙检查。

下载 pe_xscan 扫描 log,由于刚刚用杀毒软件进行了系统扫描,所以在 log 中只发现一些启动项:

/---pe_xscan 07-11-25 by Purple Endurer2007-11-27 12:23:32Windows XP Service Pack 2(5.1.2600)管理员用户组

O23 - 服务: 0jj6erv (0jj6erv) - System32/DRIVERS/0jj6erv.sys(引导)O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导)O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/pcidisk.sys(手动)O23 - 服务: Tcpip (TCP/IP Protocol Driver) - system32/DRIVERS/tcpip.sys | Microsoft? Windows? Operating System | 5.1.2600.2892 | TCP/IP Protocol Driver | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2892 (xpsp.060420-0256) | Microsoft Corporation| ? | tcpip.sys | tcpip.sys(系统)---/

用winRAR检查文件,发现O23 - 服务: Tcpip (TCP/IP Protocol Driver)中 tcpip.sys这个文件的最后修改日期是2007-11-23号,在c:/windows/system32/drivers 发现了文件 TCPIP.SYS.ORIGINAL,经比较:

C:/WINDOWS/system32/drivers>fc tcpip.sys TCPIP.SYS.ORIGINAL
正在比较文件 TCPIP.SYS 和 TCPIP.SYS.ORIGINAL
00000130: 92 F6
00000131: EC EB
0004F7C6: 00 64
0004F7C7: 01 00

发现两个文件不一样。

可惜 http://purpleendurer.ys168.com 不知什么原因打不开,未能下载 FileInfo 提取文件信息。
把 tcpip.sys 打包备份,然后用网友电脑中原来存有的 IceSword 1.12 英文版强删除,Windows系统提示文件保护时取消,然后把 TCPIP.SYS.ORIGINAL 改名为 tcpip.sys。

在用瑞星卡卡安全助手删除前3个 O23 项时,发现第1个删了又重生。但用 IceSword 1.12 没有在c:/windows/system32/drivers发现文件 0jj6erv.sys,不过在 Kernel Module 列表中发现了 0jj6erv.sys……

下载了 IceSword 1.22 中文版,还是看不到磁盘上的文件,也无法删除 其服务启动项,禁用也不行。

可惜bat_do 无法下载,没法删除。

重启电脑到安全模式,换了一个用户登录,再次启动IceSword 1.22 中文版,终于在c:/windows/system32/drivers 看到了 0jj6erv.sys,先复制了一个打包备份,然后强制删除。

重启电脑,再用瑞星卡卡安全助手删除O23 - 服务: 0jj6erv (0jj6erv),搞定。
开机也不再提示找不到文件 f5bk37q187.dll了。

由于 0jj6erv.sys 作驱动程序被windows加载后会隐藏自身在磁盘上的文件,所以进入桌面后,杀毒软件也无法扫描出来,看来对付这类病毒,得用开机扫描才行了。

文件说明符 : D:/test/ojj6erv.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 13:10:8
修改时间 : 2007-11-27 13:10:26
访问时间 : 2007-11-27 13:10:35
大小 : 23104 字节 22.576 KB
MD5 : a2bad1749c3cf2c7d7190b7f140a9619
SHA1: 6C382CA9F73F7E0CEE5F342C5CC4ED0F82C094A8
CRC32: 1579b0b3

Kaspersky 已检测到: 木马程序 Trojan-Downloader.Win32.Hmir.hw 文件: D:/test/ojj6erv.sys.rar/ojj6erv.sys

瑞星报为 Trojan.Win32.Mnless.zpc

绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys相关推荐

  1. 遭遇PSW Win32 WoWar Trojan Win32 MnLess Trojan IMMSG Win32 TBM

    分享一下我老师大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow 遭遇PSW.Win ...

  2. 隐藏进程中的模块绕过IceSword的检测

    标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...

  3. 利用伪造内核文件来绕过IceSword的检测

    作者:倪茂志 邮件:backspray008@gmail.com 完成于:2005.12.20 文章分为八个部分: 一.为什么需要伪造内核 二.伪造内核文件 三.隐藏进程 四.隐藏内核模块 五.隐藏服 ...

  4. 某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu

    某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu endurer 原创 2008-09-29 第1版 发现了挺久了 ...

  5. 遇到让文件夹变文件的 Trojan.Win32.ECode.ee / Trojan-Dropper.Win32.Flystud.ko

    遇到让文件夹变文件的 Trojan.Win32.ECode.ee / Trojan-Dropper.Win32.Flystud.ko endurer 原创 2009-04-29 第1版 最近一位朋友的 ...

  6. 【文件上传绕过】——后端检测_文件的扩展名检测漏洞

    文章目录 一.漏洞说明: 二.工具: 三.实验环境: 四.实验目的: 五.检测方法: 1. 黑名单: 2. 白名单: 六.绕过方式: 1. 白名单绕过: 1.1 解析漏洞: 1.2 截断上传: 原理: ...

  7. 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等

    遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等 endurer 原创 2007-10-23 第 ...

  8. Trojan.Win32.Agent.vti的查杀举例

    作者:清新阳光                                          ( [url]http://hi.baidu.com/newcenturysun[/url] )  这 ...

  9. 如何让一句话木马绕过waf的检测 ?

    一.什么是一句话木马? 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能.为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令. ...

  10. Trojan/Win32.TDSS.eyj[Rootkit]分析

    病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范围: 完 ...

最新文章

  1. 把 SOAP 服务转化为 REST 服务(REST Service 的最佳实践,第 3 部分)
  2. CTFshow 命令执行 web29
  3. [USACO 08JAN]Haybale Guessing
  4. mysql -u root -p 解释
  5. 最最最最最最最最基础的C---函数
  6. python launcher下载_Python flauncher包_程序模块 - PyPI - Python中文网
  7. 服务器显示灰色怎么办,服务器远程桌面显示灰色
  8. 决策树的实现及可视化方法总结
  9. shiro 原理简介
  10. Contrastive Learning
  11. 续费Enom域名的三种办法
  12. linux 网卡驱动编译,在linux系统下安装编译网卡驱动的方法
  13. Python pygame,精灵和精灵组
  14. 自己封装的CMusic类 【转】
  15. FATE —— 二.3.1 Hetero-NN自定义数据集
  16. 企业级利器,阿里云 NVMe 盘和共享存储
  17. 计算机教学反思杂文,懒教学反思随笔
  18. 【新】Notion基础教程(持续更新中……)
  19. 快速求sin与cos值的方法
  20. windows无法启动windows update服务

热门文章

  1. 手机的RFID射频技术应用
  2. 在Virtualbox虚拟机中安装MSDOS(简易教程)
  3. Java项目内容中没有错,但是项目上面显示一个红叉的解决办法
  4. VMware 16 Pro安装MacOS Mojava 10.14
  5. HTML期末学生大作业:中华传统文化【苏绣手工艺】带psd设计图(15页)
  6. Dev-C++每次启动都提示路径库不存在
  7. mysql 视图创建与查询数据库作业(10)
  8. oracle取得组内行号,行号
  9. matlab计算概率分布,Matlab中的离散概率分布计算
  10. [渝粤教育] 西南科技大学 英语(B)1 在线考试复习资料