毒霸工程师实战:疯狂的NS下载器

2008/12/4 来源:www.arpun.com 作者:小白

运行病毒样本测试

昨天提到过那个很可能超越机器狗的NS下载器, 这个东东变化很快, 主要是做免杀处理。 同时, 下载的木马列表也在不断更新。 比较疯狂的是, 下午在我两个不同时段的染毒测试中, 竟然下载了不同种类的木马, 足见黑客产业链的疯狂程度。

其实处理的过程还不太复杂, 这里要感谢我的伙伴——急救箱, 基本上不需要我花很多功夫去手工处理了, 相信急救箱也会成为各位的好伙伴。

现把我的测试结果描述如下, 和各位网友交流。

测试环境:

XP虚拟机, 仅安装清理专家2.6和急救箱, 因为这个病毒会发起ARP攻击, 为了避免我的测试影响周围的同事上网, 我安装了毒霸的ARP防火墙, 这三个工具均升级到最新版本。

运行病毒样本explorer.exe后, 很快发现这个EXE自杀了。 此时, 双击清理专家已经发现无法执行。

大约1分钟左右, 可以观察到ARP防火墙拦截的结果让人吃惊, 我想如果没有ARP防火墙的保护, 周围应该有机器断网了。

毒霸工程师实战:疯狂的NS下载器毒霸工程师实战:疯狂的NS下载器

病毒疯狂修改系统注册表信息

再等待3-5分钟, 让这个木马下载器充分完成下载。 这时候就可以让急救箱工作了, 因为这个病毒修改系统注册表信息相当疯狂, 急救箱扫描的时间远比一般的木马要长很多, 在我的虚拟机环境大约耗时3分钟完成。

毒霸工程师实战:疯狂的NS下载器毒霸工程师实战:疯狂的NS下载器

立即重启电脑, 重启之后我担心不够彻底, 这次启动清理专家成功了, 这个木马下载器下载了太多的恶意软件, 虽说用急救箱和粉碎器删除了这些文件, 但在其它位置的修改一一手工操作的话, 就太慢了, 我直接用清理专家又清除了10多个恶意软件。

200多处危险加载点 详情

急救箱发现200多处危险加载点, 可以查看详情

毒霸工程师实战:疯狂的NS下载器毒霸工程师实战:疯狂的NS下载器

直接点击重启

重启完成后, 双击清理专家, 还是无法运行, 看来急救箱还没有完美解决。 那就试下清理专家的百宝箱, 新版百宝箱是个独立的模块, 可以直接执行清理专家目录下的KBOX.EXE。

找出存在风险的进程

使用进程管理器, 勾上显示加载到进程中的DLL, 再点击“找出存在风险的进程”, 这个功能超好用。 发现了很多HB开头的dll文件, 当然远不止这些, 索性直接在这些有风险的模块上点击右键, 再点击“定位文件”, 跳到windowssystem32文件 夹, 再按时间排序, 把与hb**.dll文件几乎同时创建的这些乱78糟的文件全部选中。

另启动百宝箱的文件粉碎器, 把上面这些乱78糟的文件全部拖到粉碎器的窗口, 然后一次全部删除。

毒霸工程师实战:疯狂的NS下载器

立即重启电脑, 重启之后我担心不够彻底, 这次启动清理专家成功了, 这个木马下载器下载了太多的恶意软件, 虽说用急救箱和粉碎器删除了这些文件, 但在其它位置的修改一一手工操作的话, 就太慢了, 我直接用清理专家又清除了10多个恶意软件。

重新用进程管理器分析, 已经一切正常。

 
网友评论
评论(...
全部评论