‹‹ 上一主题 | 下一主题 ››
发新话题
打印

2.3.6 0812被穿!

zgx199081

新手上路

Rank: 1
1# 发表于 2008-8-22 05:30  只看该作者

2.3.6 0812被穿!

各位兄弟小心了  被穿现象还是老样子 任务管理器打不开  userinit.exe被替换 然后在C盘根目录下生成一个名为00003DB0隐藏文件夹(文件夹名字不确定是不是随机生成的),里面就是userinit.exe(用来替换没穿的) 在临时目录下有个27.tmp的批处理 内容为
:t
del "C:\00003DB0\375870"
if exist "C:\00003DB0\375870" goto t
del

还抓到了IP 121.10.112.172 在路由封了吧  
目前就知道那么多了!

[ 本帖最后由 zgx199081 于 2008-8-22 05:33 编辑 ]

TOP

zhnas

新手上路

Rank: 1
2# 发表于 2008-8-22 10:45  只看该作者
我早上来也发现被穿,进程名是reg.exe和biroask.exe,可惜样本搞不到,现在准备用防火墙先挡一下

TOP

honda60

新手上路

Rank: 1
3# 发表于 2008-8-23 01:03  只看该作者
这些样本我有了,这些都只是下载器来的,不是真正的穿透源头,我试过用样本在没有被穿的机子上运行,运行后下载了30多个毒后就自动退出,然后我再重启机子,但还原没有被穿到。
而真正的穿透源头还没有找到,这个下载器连接的IP现在忘记了,但只记得是连接到浙江省温州市的。

TOP

ldhongs

新手上路

Rank: 1
4# 发表于 2008-8-23 16:02  只看该作者

最新机器狗样本,不妨试一试.

密码123
附件: 您所在的用户组无法下载或查看附件

TOP

honda60

新手上路

Rank: 1
5# 发表于 2008-8-24 02:44  只看该作者
reg.exe是个下载器,我试过任其下载,下载了30多个毒后就自动退出了,然后我再重启还是没有被穿,至于楼上那个样本中还有另外两个文件,我就没有试过

TOP

973599

新手上路

Rank: 1
6# 发表于 2008-8-24 04:06  只看该作者
我用防火墙 自己加到340了
但是目前还没有被穿!

还有就是防火墙少+1条USB的驱动

TOP

honda60

新手上路

Rank: 1
7# 发表于 2008-8-24 05:16  只看该作者
我修正上面5楼时说的,下载了30多的毒的是debug.exe这个,而不是rag.exe,我记错了,不好意思,rag.exe这个我是开了不到10秒再结束进程,再重启都已经被穿了。

TOP

agump001

注册会员

Rank: 2
8# 发表于 2008-8-24 17:02  只看该作者

已阅!

已阅!

TOP

hwl698cn

新手上路

Rank: 1
9# 发表于 2008-8-27 23:24  只看该作者
还是好,渐时末穿

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题