这是不是木马????
我家有许多的:Generic Host Process for win32 Services访问远程地址不知道这个是不是木马???????
改怎么杀掉??
回复: 这是不是木马????
别人告诉我了~这个是病毒的~~~~
回复: 这是不是木马????
此病毒利用“震荡波”的后门及系统MS-4011漏洞进行传播,会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒,可能造成系统异常。占用大量网络资源,可能会造成企业局域网运行缓慢甚至瘫痪。一、病毒评估
1.病毒中文名:假警察
2.病毒英文名:Worm.Win32.Dabber.a
3.病毒别名:Worm.Win32.Dabber.A (AVP)
4.病毒大小:29,696字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:系统漏洞/后门
8.病毒依赖系统:Windows 9X(可感染,但无危害)NT/2000/XP(可危害)
二、技术细节
1.复制自己到系统目录并实现自启动
病毒运行后,将自己复制到%SYSTEM%目录,c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe,病毒使用"sas4dab"为互斥量。
2.试图清除一些病毒的注册表键值:
尝试删除注册表Run项中的以下键值,使之不能正常启动:
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
3.建立四个线程实现一些功能。
(1)后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站下载文件等功能。
(2)TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
(3)一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
(4)利用漏洞进行攻击
病毒利用本地系统的ip进行计算,找到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。
A.如果联接失败:
病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过),失败(目标系统没有被病毒感染)时病毒利用MS04-011漏洞对目标系统进行攻击,并利用自己的tftp服务器将自己复制过去。
B.联接成功:
病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
三、解决方案:
升级杀毒软件的病毒库到最新版
回复: 这是不是木马????
倒~在别的论坛里人家确实是这样告诉我的
回复: 这是不是木马????
同意,应该是毒回复: 这是不是木马????
如果不是病毒,那他为什么还要连接远程地址???回复: 这是不是木马????
你自己看回复: 这是不是木马????
我的附件...回复: 这是不是木马????
这个程序出现在9x核心系统中,肯定是病毒或木马,但是如果是NT核心,就不好说了,因为在NT核心系统中,它是系统服务的关键。就像楼上提到的,天网可以看到每个进程的连接状况,如果它在同时监视很多莫名其妙的端口,那就是它有问题了。
建议常升级杀毒软件,常检查检查。
回复: 这是不是木马????
监听135端口那是epmap这个守护程序~简称DCE终点解析~
回复: 这是不是木马????
下个双向监测的防火墙就ok啦
页:
[1]