网络电影引发的后门及解决办法
新客网 XKER.COM 2007-03-24 来源: 收藏本文
既然杀毒软件无法得知真实数据,那我只能自己分析了,开启“系统监控三剑客”IRIS(网络监控)、NTRegMon(注册表监控)、FileMon(文件监控),然后运行RManage32.exe,截获到这些动作:
文件行为:
1. 复制自身到系统目录(WINNT),名字为RManage32.exe
2. 创建文件RManage32.dll、RManage32_Hook.dll、RManage32Key.dll
3. 删除原来的感染体RManage32.exe
4. 系统目录里的RManage32.exe进程启动
注册表行为:
1. 创建服务子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManage32_Server以及相关数据子键
2. 设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManage32_Server的“Start”项为0x02即自动运行
网络行为:
1. 连接 http://xxx.yeah.net
2. 返回带有域名对应IP的HTML转向数据
3. 连接该IP的8000端口
4. 无数据返回
文件行为:
1. 复制自身到系统目录(WINNT),名字为RManage32.exe
2. 创建文件RManage32.dll、RManage32_Hook.dll、RManage32Key.dll
3. 删除原来的感染体RManage32.exe
4. 系统目录里的RManage32.exe进程启动
注册表行为:
1. 创建服务子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManage32_Server以及相关数据子键
2. 设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManage32_Server的“Start”项为0x02即自动运行
网络行为:
1. 连接 http://xxx.yeah.net
2. 返回带有域名对应IP的HTML转向数据
3. 连接该IP的8000端口
4. 无数据返回
上一篇:保护系统 从防范IP泄漏开始! 下一篇:终端入侵防护解决方案七大纪律
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐