毒霸实战“蝗虫军团”HBKernel
由于毒霸可以杀掉该样本,所以测试时关掉了监控。
以下是文件行为。等待测试的病毒样本,运行后会删除自身。
待病毒完全运行后,用清理专家评分诊断
由于该病毒释放的文件很不稳定,一会就蓝屏,所以图没截下几个。。。用文字说话。
在线系统诊断可以发现六个已知和未知的病毒程序。
清理专家诊断出两个病毒的启动项,在清除时蓝屏了。。
病毒释放的C:\WINDOWS\system32\drivers\HBKernel.sys注入到很多进程中,包括毒霸的进程。
用清理专家清理掉除启动项外所有可疑东西。重新启动计算机。。
重启后毒霸监控打开,出现惊人的一幕。
抢杀日志
再用清理专家清理病毒残留物,至此病毒完全被干掉。。
如果仅用清理专家想干掉这个病毒还是很困难的。(主要总是蓝屏)
以下是文件行为。
引用:
释放文件副本:
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\drivers\HBKernel.sys
C:\WINDOWS\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\SelfDel.dll
C:\WINDOWS\system32\System.exe
安装加载驱动:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HBKernel
HBKernel32
创建注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HBService
HBService32
修改注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs的值为aaa.dll,HBmhly.dll(默认为空)
C:\WINDOWS\system32\HBmhly.dll设置全局挂勾
重复创建注册表启动项和设置全局挂勾动作
待病毒完全运行后,用清理专家评分诊断
由于该病毒释放的文件很不稳定,一会就蓝屏,所以图没截下几个。。。用文字说话。
在线系统诊断可以发现六个已知和未知的病毒程序。
清理专家诊断出两个病毒的启动项,在清除时蓝屏了。。
病毒释放的C:\WINDOWS\system32\drivers\HBKernel.sys注入到很多进程中,包括毒霸的进程。
用清理专家清理掉除启动项外所有可疑东西。重新启动计算机。。
重启后毒霸监控打开,出现惊人的一幕。
抢杀日志
再用清理专家清理病毒残留物,至此病毒完全被干掉。。
如果仅用清理专家想干掉这个病毒还是很困难的。(主要总是蓝屏)
相关阅读:
- [原创][从mambo到joomla的迁移实战之四]插件、组件的迁移 (joson, 2008-10-09)
- [原创][从mambo到joomla的迁移实战之五]选择UTF-8 还是GB2312/GBK (joson, 2008-10-09)
- 从实战角度讨论MD5加密的安全性 (妖界之箭, 2008-10-20)
- 实战:Firefox中成功实现IE8新功能 (齐萌, 2008-10-29)
- 实战:Firefox中成功实现IE8新功能 (齐萌, 2008-10-30)
- 实战:Firefox中成功实现IE8新功能 (齐萌, 2008-10-31)
- 标题:CIO实战:猫捉老鼠做好信息安全管理 (金海龙, 2008-10-31)
- CIO实战:猫捉老鼠做好信息安全管理 (金海龙, 2008-10-31)
- CIO实战:猫捉老鼠做好信息安全管理 (金海龙, 2008-10-31)
- CIO实战:猫捉老鼠做好信息安全管理 (金海龙, 2008-10-31)
导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | |||||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 | |||
| 11 | 12 | 13 | 14 | 15 | 16 | 17 | |||
| 18 | 19 | 20 | 21 | 22 | 23 | 24 | |||
| 25 | 26 | 27 | 28 | 29 | 30 | 31 | |||
我的存档
数据统计
- 访问量: 63968
- 日志数: 1192
- 文件数: 1
- 建立时间: 2007-08-10
- 更新时间: 2009-01-03
