科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道关于系统文件debug.exe和taskmgr.exe被篡改

关于系统文件debug.exe和taskmgr.exe被篡改

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是近些天流行起来的一个木马下载器。我拿到的样本是Gameeeeeee.pif。 此样本来自:http://bbs.janmeng.com/thread-787305-1-1.html

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
这是近些天流行起来的一个木马下载器。我拿到的样本是Gameeeeeee.pif。
此样本来自:http://bbs.janmeng.com/thread-787305-1-1.html


此病毒释放/改写/下载的文件:



注:

1。如果能有效阻止病毒驱动ntkapi.sys释放、加载,此毒不能穿还原,也不能篡改系统程序debug.exe和taskmgr.exe。
2。windows目录下的病毒文件.exe为四位随机字母文件名,每次感染均变化。


此毒的注册表改动:


样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行:Gameeeeeee.vbs运行后,到C:\Documents and Settings\Administrator\Local Settings\Temp目录下找Gameeeeeee.pif。找到后,即刻加载运行之。看来,这可能是个来自网络的脚本病毒。
我事先用工具禁止了任何程序针对%system%\drivers目录的创建/写入操作,然后在影子环境下运行此病毒样本,重启后,系统一切正常(system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序,病毒未能改写之)。
这里的关键是:病毒在%system%\drivers目录下释放ntkapi.sys的动作被俺成功阻截了。
至于病毒可能释放驱动的其它位置,如:系统根目录、%Program Files%Internet Explorer\PLUGINS目录、当前用户temp目录、%windows%\temp目录.....,用户也应采取恰当防护措施,禁止外来程序在上述目录下创建.sys文件。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章