當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

西伯利亞漁夫強改DNS設(shè)置及解決

http://www.yibo1263.com　2008-12-10 8:08:55 　來源:東北IT網(wǎng) 　編輯:葉子

　　4.Hook下列函數(shù)，隱藏病毒文件

　　NtSetValueKey

　　NtResumeThread

　　NtQueryDirectoryFile

　　NtDeleteValueKey

　　OpenProcess

　　DebugActiveProcess

　　5：將病毒代碼注入到其他的系統(tǒng)進程中執(zhí)行，被注入代碼的、進程的頭部+Ch處，有"PE"的標記。

　　嘗試注入的進程有explorer.exe,csrss.exe,runonce.exe,service.exe等等

　　注入代碼包括循環(huán)添加注冊表啟動項，循環(huán)修改DNS服務(wù)器設(shè)置；

　　連接遠端地址64.*8.1*8.2*1，執(zhí)行其他的黑客行為，盜取信息，下載；

　　檢查到瀏覽器iexplore.exe時，hook下列Api：HttpSendRequestA，RegisterBindStatusCallback，recv

　　檢查到瀏覽器firefox.exe的話，hook下列Api:recv

　　6：結(jié)束自身進程

　　保留一個打開的句柄在csrss.exe中，防止自身被刪除

　　病毒通過以上技術(shù)進行隱藏，通常資源管理器搜索，是找不到病毒生成的kd*.exe文件的。

　　解決方案：

　　1.使用金山系統(tǒng)急救箱，完成掃描分析后，一次重啟就可以解決

　　

　　金山系統(tǒng)急救箱可以訪問http://bbs.duba.net/thread-21988813-1-1.html下載

　　2.及時升級毒霸病毒庫防止受此病毒病毒騷擾

　　3.手工解決

　　使用冰刃的文件管理找到c:\windows\system32\kd*.exe，將其刪除。注意：系統(tǒng)自帶的文件管理器是看不到這些隱藏的病毒文件的，即使修改文件夾選項為查看隱藏文件也無濟于事。

　　使用冰刃內(nèi)置的注冊表編輯器，瀏覽到

　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon system

　　HKLM\Software\Microsoft\Windows\CurrentVersion run

　　刪除病毒添加的注冊表鍵，再重啟電腦。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费