杀“木马”经历

2006-02-22 17:27:20

真的受不了，找到一部大片用bt下载好了，感觉有些奇怪，怎么会有两个文件，分A和B两部分？但格式不一样啊？，一个是AVI，另一个是RM，有些奇怪。但也没想多，觉得BT的大众大部分都是好的，拖了一下A，没什么。在打开B看看，刚双击完就看见文件浏览窗口左边的详细信息中，在.rmvb后面好长的空格，然后是.exe。我还没来得及动作，就看见播放器打开的是media player，这怎么可能？我没有给media加过插件。应该默认realplay播放。我赶紧看诺顿的反应，实时监控被关了，防火墙这时正好被关。病毒来了！我立即断掉网络。这下可以慢慢解决你了。
    尝试着开杀毒软件，打不开。开任务管理器，多了一个进程，ntdhcp.exe，就是你了，哈哈。打开了优化大师的进程管理，在system32下，这下更是肯定了他的身份。运行msconfig，去掉它的启动项。至于他有没有启动什么服务还不知道。还有他要是dll类型的木马就比较难办了，早上还看过一种木马，在svchost中插入服务，更麻烦。先不管了，进了system32目录，看了一下他的创建时间，23：13。记下了。大略看了一下进程调用的模块，好像没有什么新鲜的，接着停了这个进程。为了以防万一，搜索了一下系统文件，把在那个时间创建的文件都弄了出来放在单独的文件夹中，当然包括那个ntdhcp.exe。
    重新启动电脑，防火墙正常了，但是诺顿的自动防护好像被损坏了。先不管这个，到注册表的[HKEY_LOCALMACHINE/Software/Microsoft/Windows/CurrentVersion/Run]下看看，不错哦，有个"NTdhcp" = %SystemDir%/NTdhcp.exe的键值。删掉它。这时候问题应该不大了。开了防火墙上网查一下，原来他是：
病毒名称：Trojan/PSW.QQpass.br 
中 文 名：“QQ大盗” 
病毒类型：木马 
危害等级：★★ 
影响平台：Win 9x/2000/XP/NT/Me/2003
    又是盗qq的，早听说他了，没见过，今天见到了，哈哈。但是诺顿还没恢复，再说吧，不知道修复能不能好，不行就重装。防火墙才是对付木马的工具。
    我很想知道这个木马是怎样破坏杀毒软件的，没怎么查到这方面资料。有人知道能否提示一二。还有这个木马名声那么大，就只能靠这样的自启动来运行？进程那么容易看见，动作那么大，他还有什么技术含量吗？比如服务，隐藏进程，线程插入之内。希望高人指点。
    这个木马用什么语言写的？可以通过反编译可以看到用这个木马的人的邮箱和密码吗？反编译用什么工具比较好。有这些好的文章也希望大家推荐一下。