终截者再显神威,成功拦截Ravdm 盗Q***
盗Q***
——作者:Sea
前几天在我的爱机上无意中获得一个QQ盗号***--wdm.exe的一个变种:Ravdm
***病毒。这可恶的家伙竞然想盗我的QQ号,呵呵…!没门…!它在试图运行时就被我的终截者发现并拦截了。经过分析,此病毒的主程序为ravdm.exe
,运行后会释放下列文件:
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program
Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program
Files\Tencent\QQ\TIMPlatform.exe
经过测试,瑞星18.42对此病毒仍不报毒,下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。
首先我们先打开终截者,然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行,当其运行时终截者会弹出如下提示窗口。
[IMG]http://www.s-sos.net/pic/20060906/wlk/1.png[/IMG]
在此,我们先点击这提示窗口中的“允许”按钮,把它放行,让其运行,然后我们再看其在我们系统中会做哪些动作?
首先,我们用Autoruns
查看工具查看系统的所有运行程序(如下图),我们发现Ravdm.exe病毒在注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
的路径下创建了一个数值名称为“9”的自启动值。
[IMG]http://www.s-sos.net/pic/20060906/wlk/2.png[/IMG]
Ravdm.exe既然是一个QQ盗号***,那现我们便来运行一个QQ,我们发现QQ启动后,终截者会弹出一个高危险的安全预警提示窗口(如下图所示)。(另注:我的QQ是用终截者的密码锁功能加了锁进行保护,如QQ没用密码锁进行保护,则无此报警提示)
[IMG]http://www.s-sos.net/pic/20060906/wlk/3.png[/IMG]
TIMPlatform.exe
这文件本来是QQ的正常文件,终截者怎么会对它进行报警,且还报为是高危险的呢?原来,经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe
文件,原来Ravdm.exe***运行后,会在QQ的目录下生成:TIMPlatfrom.exe、TIMPlatform.exe两个文件,并用其生成的TIMPlatform.exe替换QQ原来的正常文件。
所以,刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…!看来终截者还是挺神的哦!
既然用终截者发现了Ravdm.exe***并把它放过了,现我用来看再用终截者如何清除此人人喊杀的可恶家伙。
首先,我们用终截者的扫描功能扫描一遍系统,扫描完后,我来一起来看看扫描结果,如下图所示:
[IMG]http://www.s-sos.net/pic/20060906/wlk/4.png[/IMG]
我们发现在这扫描结果中,有一个相当可疑的驱动—Rinld.sys,通过查找资料才发现这个文件也是Ravdm.exe***运行后生成的驱动文件。哇赛…!那臭家伙竟然还生成那么多文件!等会,我们一一把它干掉。
接下来我们再用终截者的安全回归功能重启一遍系统,重启系统后,终截者提示禁止了一个程序的运行(如图1所示),我们再点击这提示窗口中的“打开编辑器”按钮,弹出编辑器窗口(如图2所示)。这家伙竟然还把自己伪装成是Microsoft
出品的程序,如果不留心,则很难看出Ravdm.exe文件是一个QQ盗号***的主程序,它竟想逃过防毒软件
的查杀,但还是没逃出终截者的“如来佛”掌心。
[IMG]http://www.s-sos.net/pic/20060906/wlk/5.png[/IMG]
图1
[IMG]http://www.s-sos.net/pic/20060906/wlk/6.png[/IMG]
图2
安全回归后,我们就可一一清除Ravdm.exe运行后释放的下列文件:
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program
Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program
Files\Tencent\QQ\TIMPlatform.exe
另注:删除TIMPlatform.exe
文件后不影响QQ的正常使用。
我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[Microsoft
Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
[]
到此为止,成功清除Ravdm
***病毒。
另注:
最新版终截者官方站下载地址:[URL=http://www.s-sos.net/downloads/Terminator.htm]http://www.s-sos.net/downloads/Terminator.htm[/URL]
转载于:https://blog.51cto.com/xiong/13699
终截者再显神威,成功拦截Ravdm 盗Q***相关推荐
- 妙用终截者密码锁防***注入Explorer
俗话说得好:"知已知彼,百战不殆".这句话,不仅常用到军事战争中, 同样的,在网络这块没有硝烟的战场上,***也自成一套. 不清楚***方式,怎么能更好的防御?在接下来的介绍中,我 ...
- chrome卸载之后再安装无法成功
为什么chrome卸载之后再安装无法成功? 是因为文件没有被删除干净,以及注册表中有相关的文件没有被删除,导致无法安装成功. 1.如何找到没被删除干净的文件 文件名默认的叫Google(win7 64 ...
- 2020云智中国西安站-百度智能云推动产业智能化再升级论坛成功召开
2020云智中国西安站-百度智能云推动产业智能化再升级论坛成功召开 12月11日,2020云智中国西安站·百度智能云推动产业智能化再升级论坛在西安香格里拉大酒店成功召开.此次论坛由百度智能云主办,天互 ...
- [风火之旅]坐骑镶嵌'马掌' 更显神威
<script language='javascript' src='http://www.taizhou.la/AD/ad.js'></script> 在<风火之旅&g ...
- 反弹领跑所有大数据指数 360互联+再次显神威
上周五市场V型反转,360互联+指数猛涨2.67%,再次领跑所有同类的大数据指数.在上周五大幅反弹之后,该指数1月25日继续上涨1.7%. 上周五,沪指盘中跌破2900点,午后大盘回暖,股指上扬.此外 ...
- chrome卸载不干净之后再安装无法成功
为什么chrome卸载之后再安装无法成功? 是因为文件没有被删除干净,以及注册表中有相关的文件没有被删除,导致无法安装成功. 1.如何找到没被删除干净的文件 文件名默认的叫Google(win7 64 ...
- 炸弹人 html5,HTML5再显威力 与全世界一起玩炸弹人
作者:宋杰 HTML5再显威力:一起玩炸弹人 去年2月份,小编曾介绍过几个运用HTML5标准开发的网页游戏,虽然只是一些简单的单人游戏,却也让我们见识到了HTML5的无限潜力.在那之后 没多久,Moz ...
- java元婴期(31)----java进阶(springmvc(5)---数据回显数据交互拦截器)
数据回显 什么数据回显 提交后,如果出现错误,将刚才提交的数据回显到刚才的提交页面. pojo数据回显方法 1.springmvc默认对pojo数据进行回显. pojo数据传入controller方法 ...
- 移动商城第五篇(用户模块)【用户登陆、回显用户、拦截器、收货地址】
移动商城[用户登陆.回显用户] 我们来实现用户登陆的功能: 当点击的时候,出来的是一个弹出框,我们想要切换成一个页面. 找到对应的事件.切换成我们的页面就行了. $("#loginAlert ...
最新文章
- 【linux命令】readelf工具中英文说明
- php 抽象类 继承,PHP 抽象类继承抽象类时的注意点
- TF之CNN:CNN实现mnist数据集预测 96%采用placeholder用法+2层C及其max_pool法+隐藏层dropout法+输出层softmax法+目标函数cross_entropy法+
- 用_beginthreadex不用 CreateThread
- 逻辑回归为什么使用对数损失函数
- Eclipse中导入Maven项目后没有run on server
- maven scope含义的说明
- unsw计算机科学的挂科率,澳洲新南威尔士大学考试挂科率达41%
- iOS开发 mac证书无法展开
- html盒子优先级设置,CSS 基础(盒模型、选择器、权重、优先级)
- android simpliadapter的两种用法
- 如何服务器备份到移动硬盘,数据安全第一!威联通如何外接硬盘备份和同步
- 【BZOJ4199】品酒大会(后缀自动机)
- 什么是EDM?EDM营销是什么?
- QVector元素增删改
- Mastering the game of Go with deep neural networks and tree search翻译
- 【电商项目实战】个人资料(详细篇)
- 网络连通性测试ping和tracert命令
- 现在的你对未来什么规划?
- 数据库第七次作业——更新数据
热门文章
- Iowait的成因、对系统影响及对策
- 进销存管理系统的设计与实现
- teamviewer 文件传输服务器关机,teamviewer进行文件传输的详细步骤讲述
- domino 使用java,在Domino中使用JavaServerlet
- 大量域名数据下载地址收集整理
- 绿色数据中心的三环理论
- ABB工业机器人大地坐标系修改案例
- 电脑定屏死机,如何解决
- gorm MySql中连接出现 1130 Host ‘LAPTOP-AKP8DH1F’ is not allowed to connect to this MySQL server 的解决方法
- VC黑客编程实战视频-破解网吧电影下载。