首 页文章中心下载中心娱乐八卦本站论坛拜仁联盟球迷社区博客日志建站服务域名抢注繁體中文
设为首页
加入收藏
联系我们
E-mail:WebMaster#fcbu.com
 |  源码下载 | 工具下载 | 素材下载 | 教程下载 | ASP 源码 | PHP 源码 | JSP 源码 | ASP 教程 | .NET教程 | PHP 教程 | 服务器教程 |
 |  网络资讯 | 网站运营 | 网页制作 | 数 据 库 | 网络编程 | 图象媒体 | 操作系统 | 网络应用 | 软件教学 | 火爆影视 | 五 花 八 门|
 |  电脑医院 | 系统攻略 | 网管技术 | 电脑硬件 | 软件天地 | 网络知识 | 网页制作 | 编程讨论 | 综合问题 | 职场生涯 | 数 码 手 机|
载入中…
当前位置:站长天下 -> 电脑医院 -> 行之有效的QQ尾巴拦截器

行之有效的QQ尾巴拦截器
作者:TTXS(Fcbu.Com)   来源:互联网   发表时间:2006-08-23  
行之有效的QQ尾巴拦截器

--- 安全专家 杀毒应用一例  
篇首语:
拿到”安全专家”已经有好几天了, 在这几天时间里,也大概了解了安全专家的功能与用法. 碰巧不久前有个客户系统中感染的QQ尾巴难以清除, 预留了一个病毒样本. 现在正好用”安全专家”来智能分析一番.找到我原来遗漏的地方,加上补进原有的分析方法…
(由于本文只是在测试, 所以,在最大程度上所有的提示\警告均选择” 允许 “ ,以最大程度了解病毒动作.)
激活病毒

安全专家 进程防护 检测到 该病毒样本的危险等级为: 高

病毒所采用的伪装信息,其实病毒已经在内存中激活了…

写入注册表,病毒常用的自启动加载方式
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表键名及键值:"WMI Manager For NT"="D:\\WINDOWS\\System32\\wmimgrnt.exe"

访问网络, 看来这个样本是个负责”里应外合”的重要角色. (这里,先顺着病毒的意思,选择允许)随即生成好几个病毒体… 危险均为: 高



启动QQ时, 安全专家 提示” 进程防护”
进程ID:2016
父进程ID:svchost.exe(672)
文件版本:5.01.2600
创建日期:2006-03-17 13:40
所属公司:Microsoft Corporation
文件描述:TopFox SoftWare
文件路径:C:\Program Files\Tencent\qq\TIMPlatform.exe
命令行参数:"c:\program files\tencent\qq\timplatform.exe" -embedding
激活了它, 随即又激活了wmimgrnt.exe 达到了双保护目的!
所谓的”生生不息”也许就这个道理了…

进程ID:1736
父进程ID:TIMPlatform.exe(2016)
文件版本:5.01.2600
创建日期:2006-03-17 13:40
所属公司:Microsoft Corporation
文件描述:TopFox SoftWare
文件路径:\WINDOWS\system32\wmimgrnt.exe
命令行参数:wmimgrnt.exe
病毒还将反复将自己加载到自启动中,造成系统资源被过多占用.我们可以从”事件列表管理”中查看得到

事件日志
就这样. 结合”安全专家”的 进程防护(实时进程防护) \\ 自启动防护(实时注册表防护) \\ 事件列表管理器 我们理清了该病毒的感染思想.


安全专家设置选项
顺便整理一下自己的思路:
?     进程
?     当我们不小心感染该病毒时,病毒体被激活, 病毒进行一连串动作,为的是更好的打造适合自己生存的环境.
?     注册表
?     为了实现病毒自己永远霸占别人的系统,采用注入注册表进行自我启动加载.
?     文件
?     不仅在%systemroot%\system32(系统目录)中生成病毒体,更巧妙地替换了正常的几个QQ模块. 实现一旦QQ启动即可再次重新激活病毒自身,一石二鸟哦!
?     破坏
?     QQ锁在腾讯为用户帐口及密码防盗而设置的一个安全功能.现在失效了.( 键盘加密技术启动失败,出现红叉标示 )

QQ锁失效
灭掉病毒
知道了怎么回事了. 接下来就不能再让病毒呆下去了.. 否则我的Q号可就要离我而去了…
打开”安全专家”主界面, 点击”安全重启”按钮, 接着再点击”运行安全重启” 选择立即重启”…

安全重启控制台
启动后,我们可以看到,安全专家已经禁止掉该病毒的主体!

至此,我们可以看到 安全专家 通过程序内建的异常行为分析智能地分析了每一个启动程序,当发现并分析定义为危险等高的程序予以提示, 以供用户最终判断处理.
大部分情况下,当我们看到有异常程序写入到某些敏感的注册表位置时,应该予以警惕,选择” 禁止” 写入 , 或当某程序创建文件写入到系统目录(%windows% 或 %systemroot%\system32) 时,也应该选择”禁止” 或 “删除”!
针对本文所测试的样本及刚才所说, 我们也可以看到该样本所具有的特殊性, 它将病毒体不但写入到系统目录中,还把病毒附本创建到QQ程序的目录下, 利用QQ程序启动时必要启动某些功能模块时使其载入病毒体本身. 达到再次感染系统的目的! 如,
Timwp.exe     正常的程序.
TimCp.exe     病毒程序.
TIMPlatform.exe                正常的本程序已经被病毒所替换
QQexternal.exe                正常的本程序已经被病毒所替换
按照上面安全专家所拦截的信息,逐个清除, 清除注册表加载项, 删除本次感染的若干个病毒体!
再次重启后,运行QQ即不再出现烦人的Q尾巴了…
打印本文  返回顶部  加入收藏  关闭窗口
广 告 位 招 租
  • 上一篇: 看不见的硝烟----密码锁对决QQ大盗
  • 下一篇: 请朋友们看看我的电脑扫描日志是不是有病毒.谢谢了
    		•
    关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
    联系方式
    Copyright © 2004-2007 FCBU.Com All Rights Reserved.
    版权所有:『站长天下』 新凌讯网络;保留所有权利. 赣ICP备05002812