您现在的位置: | 最全反黑客上网安全早知道 |
| 最全反黑客上网安全早知道 | ||
| 作者:佚名 文章来源:不详 更新时间:2008-12-2 8:20:09 【字体:小 大】 | ||
修补方案:打开注册表,展开至[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown],新建Skype.exe(DWORD类型)键,并将其键值设置为1。 新马通缉令:“边角间谍”间谍性木马 杀毒软件测试: 瑞星:木马运行时无法发现,当瑞星防火墙开启状态木马调用SMTP服务时有提示。 卡巴斯基:木马运行时无法发现。 McAfeE:木马运行时被发现,但无法完全删除。重新启动计算机后木马再次运行。 江民KV:木马运行时无法发现,但扫描系统盘能发现telluw.dll文件。 犯罪纪录:“边角间谍”间谍性木马是最新被发现的一种利用IE浏览器辅助工具保护自身的新马,此木马主要为窃取用户机密信息,如银行账号、网游密码等。并具备了一些远程控制功能,可以导致被种植木马的计算机被黑客进行远程操控。 木马分析:“边角间谍”运行后,修改注册表,自我注册为浏览器辅助对象(BHO),实现随系统浏览器的启动而加载运行。调用控制台命令“ntsd.exe -c q -p”,终止某些安全软件的运行。如360安全卫士、瑞星卡卡等辅助程序,在被感染计算机上安装其他恶意程序并自动调用运行。可躲避某些杀毒软件、防火墙、上网助手的监控。另外,“边角间谍”还可以自动连接到服务器进行自我升级。 木马主体:此木马采用VC++ V7.0-8.0编写,并经过PE6.0加壳保护处理。木马运行后分别将后门程序telluw.cfg和telluw.dll释放到%Windows%\System32\目录下,msrcpe.sys释放到%Windows%\System32\Drivers\目录下,木马会修改系统注册表中的相关数据,实现自己的开机自启动。木马在被感染计算机系统的IE浏览器中隐蔽安装恶意广告工具条来实现本体保护。 解决方案: 1.可以使用瑞星卡卡(重新开启就可以运行了)清理IE辅助工具和临时文件,防止木马再次运行。 2.开机进入安全模式,分别搜索以下文件手工删除: %Windows%\system32\drivers\目录下的msrcpe.sys %Windows%\system32\目录下的telluw.cfg和telluw.dll 3.检查注册表, [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]内的启动项。 4.如无法手工删除msrcpe.sys文件可以尝试利用PE-SCAN(下载地址:http://www.onlinedown.net/soft/7481.htm)检查是否加壳,进行脱壳后删除。 |
||
|
||
| 文章录入:YesHack 责任编辑:YesHack.Com | ||
