廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5005 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
良牙 手機
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x26
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 木馬資訊 FuckJacks.exe
************************************
Dd11.exe大小為30,465位元組,FSG加殼處理。
病毒運行後會在%SYSTEM%下面釋放FuckJacks.exe這麼一個文件,同Dd11.exe。並且在每個分區根目錄下面釋放setup.exe和autorun.inf文件(利用系統自動播放達到啟動目的)。
FuckJacks.exe將調用CMD.EXE、NET.EXE以及NET1.EXE幾個程式,同時佔用大量CPU,會結束掉一些進程,比如註冊表編輯器、IceSword所有版本等。
病毒激活時會不停的寫註冊表保證自己的啟動項有效。
病毒會覆蓋或者修改掉正常的程式,當EXE程式的檔案名稱第一個為數字或者字母a-d(A-D)時會立刻進行覆蓋或修改,其他檔案名稱的程式會慢慢侵蝕。
************************************
病毒會刪除“安全中心”的相關注冊表。
病毒增加如下註冊表啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
關於病毒的清除:
1、打開任務管理器,結束掉FuckJacks.exe進程。
2、右擊每個分區盤符選擇“打開”刪除分區根目錄下面的setup.exe和autorun.inf文件。
3、刪除上面提到的病毒增加的註冊表值。
4、關於安全中心的恢復可以從正常系統中倒入註冊表,或者跳過這一步,不是特別重要。
5、被病毒覆蓋的文件(覆蓋後的文件大小為30,465位元組)是不可恢復的,直接刪除;被修改的文件用16進制編輯器刪除00000000到00007700的代碼段,在文件末尾找到並刪除從“WhBoy”到最後所有的代碼段保存即可恢復原貌。

=================================

對FuckJacks.exe的深入分析
分類:IT

病毒會搜索進程查找並結束窗口資訊中包含如下資訊的進程:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
**************************
同時直接結束如下這些進程(注意最後三個和Viking對上了,呵呵):
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
**************************
病毒會刪除上面提到的反病毒軟體的註冊表鍵值,同時刪除雅虎助手的註冊表
**************************
搜索區域網路共享,利用暴力破解區域網路用戶密碼方式試圖傳播自己,成功後將以GameSetup.exe的形式傳播
調用Net.exe和Net1.exe刪除admin$和IPC$共享
記錄鍵盤,盜取QQ,記錄資訊會保存到C:\test.txt(同時會記錄成功連接的IP共享資訊)中
**************************
感染EXE、SCR、PIF、COM文件,同時刪除GHOST備份(*.gho)

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富




獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-22 19:17 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054891 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言