----本文转自无毒空间官网,增加了部分内容,注释更详细。 冰风黑客联盟
冰风黑客联盟免费黑客培训基地
“改变你的一生”木马确实是花了一些工夫的牛逼木马,接管内核,干掉杀软,疯狂下载子木马,不断更新免杀模块,等等招数都让中招的用户非常头痛。这些招数对付传统的杀毒软件有效,但在无毒空间眼里基本就是杂耍。
下面就演示一把无毒空间大战“改变你的一生”木马,说是大战,有点夸张,习惯说法,准确的描述是“小菜一碟”。
演示环境:
Windows XP sp2
无补丁
无防火墙
PS:本测试故意做了断网处理,这个木马非常疯狂,不断从网上下载新的版本以逃避查杀,如果联网操作,无毒空间需切换至增强保护模式才能将其搞定,这是更加高级一点的技巧,有机会专门介绍无毒空间增强保护模式的使用方法。
样本制作:上挂马网站,故意中一下“改变你的一生”木马。
中马后的电脑桌面有“改变你的一生”等快捷方式,指向某几个网站,无法删除。
电脑运行速度变慢,关机及重启均有延迟。
任务管理器能看见假冒的qq.exe kav.exe等可疑进程。
截图如下:
安装无毒空间,看看能发现什么?
安装过程(略)
重启计算机等无毒空间正常工作后(蓝色人头在托盘稳定显示,当然全盘免疫完成后更好,电脑速度高的问题不大),
点击"分析"按钮。
友情提示:
首次使用无毒空间的朋友们可以一个个上传后再确认结果,
以便获取一些这类可疑程序的处理经验,
同时也对自己的电脑吃个定心丸。
逐个检查可疑程序的相关截图如下:
有经验的用户马上就能看出这中间除了Vfsetup.exe是我们自己无毒空间的安装程序之外,其它的程序都或多或少有些问题?
原因如下:
safemon.dat,这个文件的疑点多多:正常系统的C盘根目录下不应该有这样的文件;冒充dat数据文件,实为执行文件;文件名是安全监控的意思,保不齐是反义词。
qq.exe,一个证据就可以判它为木马,还没有见过qq在temp临时目录下启动执行的。当然在任务管理器里看见qq.exe确实有足够的欺骗性,但无毒空间捕捉的是程序加载执行时的路径,这样就几乎不用劳神研究了,铁定是木马。
suossu.dll,这个程序是随机文件名,使用了巨大文件的招数对付云查杀,是木马辅助程序。
从上图的禁止清单上我们也能看出点名堂:
原本我们禁止的是一个动态链接库程序suossu.dll,结果在实际禁止操作时,禁止的却是一个名为tabit.exe的可执行程序,执行地点居然是用户电脑的回收箱,这个现象刚好暴露了木马暗渡陈仓、转移程序、躲避查杀的诡异招数。
实际上这个例子具有一定的代表意义,抓住木马制作者的心理,是无毒空间能够顺利将木马拿下的最本质的原因。
朋友们经常使用无毒空间查杀病毒木马,就会不断积累对付恶意程序的经验,有时还能跟病毒木马学一些另类的电脑知识; 冰风黑客联盟
如果朋友们只使用杀毒软件自动查杀病毒木马,恐怕就不会有这么好学习及实战的机会了。
实践证明:
经常使用无毒空间分析各种含有可疑程序电脑,
能迅速将自己培养为程序鉴别高手及未知木马查杀专家!
PS:手工查杀病毒的技术门槛很高,朋友们可以通过无毒空间入门,积累足够的电脑知识后,
再使用Sreng,Icesword,Wsyscheck,Xuetr等更加专业的手工查杀毒工具,就会相对容易一些。
免责声明:《用“无毒空间”干掉“改变你的一生”木马》仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
备注:本文由“冰风黑客联盟采编员-http://www.cnhackvip.com.cn”提供,尊重他人劳动成果转载他出请标注原作者声明。
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日