Keygen.exe——一个比较难对付的DLL木马
来源:互联网 发布:h3c syslog日志软件 编辑:程序博客网 时间:2024/06/05 10:17
作者:baohe
样本来源:http://keygen.name/download/delta.force.xtreme_keygen.exe
特点:
1、Keygen.exe运行后,在system32文件夹中释放一个随机文件名的DLL(本次感染释放的是:rqrsppn.dll)。随后,将Keygen.exe自身删除。
2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃,重启。
3、此DLL木马有注册表守护功能。本次感染,木马添加的注册表项如下:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{35845E32-35D9-46BB-9240-258AB96391C5}"=""
HKEY_CLASSES_ROOT/CLSID/
{35845E32-35D9-46BB-9240-258AB96391C5}
4、删除上述注册表项后,木马立即原样写入。用SSM禁止写入注册表——无效。
5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程:
1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks分支,找到木马写入的内容(本例为:{35845E32-35D9-46BB-9240-258AB96391C5})。
展开HKEY_CLASSES_ROOT/CLSID/,找到木马写入的CLSID(本例为{35845E32-35D9-46BB-9240-258AB96391C5}),并记下其指向的文件名及其路径。
2、用IceSword禁止进程创建。
3、删除木马添加的注册表项。
4、删除木马文件(本例为C:/windows/system32/rqrsppn.dll)。
5、断开计算机电源。搞掂。
- Keygen.exe——一个比较难对付的DLL木马
- 一个比较难杀的木马下载器 kndncso.exe jvxnypf.exe cmdbcs.exe lRAVWL.EXE
- AdobeFlashMediaServer3.5 的 keygen.exe
- Ravdm.exe Rinld.sys TIMPlatfrom.exe 这是木马wdm.exe的一个变种。
- DLL木马的原理
- 诡秘的DLL木马
- DLL木马的写法
- DLL木马的原理
- wpf dll和exe合并成一个新的exe
- XP中被嵌入到可信进程(如:Explorer.exe)的木马dll文件
- •——winnt下隐藏木马的进程 dll木马篇——-(2013/09/18)
- dll 木马的相关介绍
- 七. 让EXE导出函数及DLL木马
- ssh-keygen.exe openssl.exe
- 对付老鼠的一个爽招
- 对付ARP Spoofing的一个备用手段
- 用Delphi编写一个Svchost.exe调用的DLL模块
- 用Delphi编写一个Svchost.exe调用的DLL模块
- 新版灰鸽子dllhost.exe的一些特点及手工查杀流程
- Software 需求分析文档格式
- Java基础:Java泛型编程快速入门
- 自己整理的几个好用的也比较常用的js
- Java中static、this、super、final用法
- Keygen.exe——一个比较难对付的DLL木马
- java加密枝术
- JAVA对象入门
- Java更新XML的四种常用方法简介
- Java中合并XML文档的设计与实现
- 在日语里,第一人称「我」於不同场合、时代甚至性别的确有很多不同的词语。
- Mozilla研究—XUL窗口创建和事件处理
- 必须要知道的GridView用法(1)
- JAVA基础应用: 处理Java中的日期问题