文章作者:Helvin [E.S.T 顾问团]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论