■■■■■关于飞飞是否为木马的进一步判定,请明眼人自己来判断~~■■■■■

社区服务
高级搜索
猴岛论坛DNF地下城与勇士■■■■■关于飞飞是否为木马的进一步判定,请明眼人自己来判断~~■■■■■
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
« 返回列表
4个回复

■■■■■关于飞飞是否为木马的进一步判定,请明眼人自己来判断~~■■■■■

 楼层直达
heitie001

ZxID:1551360

等级: 上等兵
举报 只看楼主 使用道具 楼主   发表于: 2008-10-22 0
首先请大家到百度百科里搜索词条spoolsv.exe,以下为此词条的地址:http://baike.baidu.com/view/219064.htm。
请大家注意以下一段,如果spoolsv.exe为伪装木马,须满足以下条件:
木马spoolsv进程信息:
  描述:
  这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:
  wmpdrm.dll
  1116\
  msicn\msibm.dll
  msicn\ube.exe
  msicn\plugins\
  spoolsv\spoolsv.exe(这个还长得像微软打印服务,shit!!)
  注册表加入如下垃圾:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
  [HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
  @="%System%\wmpdrm.dll"
  [HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
  [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
  [HKEY_CLASSES_ROOT\TypeLib\]
  [HKEY_CLASSES_ROOT\Interface\]
  然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手
  启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
  cfs2…… 相关文件、目录:
  %System%\wmpdrm.dll
  %System%\1116\
  %System%\msicn\msibm.dll
  %System%\msicn\ube.exe
  %System%\msicn\plugins\
  %System%\spoolsv\spoolsv.exe
  %System%\spoolsv\spoolsv.exe,有一个启动项:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
  运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
  %System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
  %System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "spoolsv"
  [HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
  @="%System%\wmpdrm.dll"
  注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
  还可能会从远程服务器下载文件:
  http://liveupdate.ourxin.com/secp.exe
  secp.exe是个安装程序,安装以下文件:
  %System%\wmpdrm.dll
  %System%\msicn\ube.exe
  %System%\msicn\plugins\(目录里4个dll文件)
  %System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
  另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
  ava.vxd
  guid.vxd
  plgset.vxd
  safep.vxd
  %System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
  注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。

大家可以到自己的电脑里看看是否满足以上条件,如果满足则为木马,如果不满足则不是木马。请自行判断,不要相信其他任何人。
打赏 收藏 新鲜事

相关主题

回复 引用
  鲜花[0]  鸡蛋[0]
heitie001

ZxID:1551360

等级: 上等兵
举报 只看该作者 沙发   发表于: 2008-10-22 0
自己的SF~~~~~~~~~~~~~~~~~~~~~~~~~~~
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
294761085

ZxID:2106331

等级: 上尉
「厷哠」):麻花藤是粑粑,!
举报 只看该作者 板凳   发表于: 2008-10-22 0
看不懂··  
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
heitie001

ZxID:1551360

等级: 上等兵
举报 只看该作者 地板   发表于: 2008-10-22 0
难道你们一点基础的计算机知识都没有吗?
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
heitie001

ZxID:1551360

等级: 上等兵
举报 只看该作者 4楼  发表于: 2008-10-22 0
我难得说了,根本就没人听
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
« 返回列表
发帖 回复