欢迎来到天天文库
浏览记录
ID:9416994
大小:49.50 KB
页数:3页
时间:2018-04-30
《sysload3.exe木马病毒地分析及清除方法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、SysLoad3.exe木马病毒地分析及清除方法~教育资源库 SysLoad3.exe木马 瑞星定义名为:yInfect 赛门铁克定义名为:ySignal)。这个时候iexplore在干吗呢?接着看。 5.Iexplore(名字真长,后面叫IE好了~)先创建一个命名Mutex:MyDo ;唉,统计,就觉得这东西这么NB?还要统计一下。。。。 hos=test/hos.gif ;这里非常出彩!苦心收集了一大堆流氓网站的名字,给我们种木马的时候,顺便给我 们把这些网站也给屏蔽了。全
2、都记录在hosts文件里面,都解析成本地!虽然不清楚的本意是为了打击竞争对手(其他木马,嘿嘿~)或者是真的为人民服务,无论如何12下一页友情提醒:,特别!,赞~~!!虽然木马杀了,这个功能我还是会继续使用的,估计还会更新~哈哈~~ 好,任务都完成了以后,IE同学休息休息~~ 6.Nopepad粉墨登场。 这个坏家伙一上来就不干好事儿~,从Z盘到A盘挨个来,一个不落的去感染其他文件,包括EXE,ASP,ASPX,HTM,HTML,PHP,嗯,好像就这些。这是这个木马非常让我厌恶的地方。 A.其EXE的
3、感染的过程如下(大家不要看了去干坏事!): 首先,依然是遍历所有文件。找到一个EXE后,检查它的最后4个字节是不是0x12345678。如果是,那么这个就是兄弟,下一位。 找到一个没给感染的后干吗呢?自然就是感染他拉~~哈哈哈~~~。注意看哦,这里很关键:把sysload3.exe复制一份,叫做tempicon.exe,为啥是icon呢?不着急,马上就能看到原因了。tempicon有了以后,把目标程序的图标资源取出来,插入到tempicon里面去,这样的话,tempicon看起来就长得跟目标一样咯~。下
4、一步呢,就是要把目标程序保存下来,于是就有了tempload.exe,这个文件就是把tempicon复制一份,然后把目标程序紧接着放在后面。最后加入8个自己的识别信息,前四个字节指出木马本身的长度,后四个字节就是前面说的0x12345678; B.phtml~,中间插入一个流氓javascript文件: <scriptsrc=Noindex.js></script> 感染完整个硬盘后,就没50秒扫描一次又没有U盘,软盘之类的驱动器挂上。挂上了就在根目录下生成一个Auto
5、run.inf,复制一份SysLoad3.exe过去,比较简单。 哦,好像检查了系统目录所在的分区没有去遍历。 嗯,打完收工! 基本流程就是这样了~。要恢复的话,只要写个小程序,遍历一下硬盘里的exe,根据文件尾的标示(倒数第8-4个字节指出Sysload_Stub的长度,根据最后4个字节是否0x12345678判断是否是染毒文件)就可以恢复鸟~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之类的库,用IceSp;extra=page%3D1 由于
6、论坛系统的限制,需要注册一个360的帐号先。SORRY.上一页12友情提醒:,特别!
此文档下载收益归作者所有