endurer 原创
2007-05-14 第2版 补充瑞星的反应
2007-05-10 第1版
一位朋友说他的电脑中的瑞星的实时监控会自动关闭,即使手动打开后,过一会又会自动关闭,U盘也打不开,让偶帮忙检修。
检查发现,这位朋友用的瑞星病毒库是2007-02-11的,升不了级。
用 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-03-17 by Purple Endurer
2007-5-10 21:31:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1400 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll | 2007-5-10 15:9:40 | Microsoft(R) Windows (R) System | 5.00.1.0.1 | Microsoft Corporation Windows DLL | Copyright (C) 2006.6 | 1. 0. 0. 1 | Microsoft Corporation| ? | System | System.dll
H:/autorun.inf
/-----
[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell/Auto/command=Ghost.pif
shell=Auto
-----/
O24 - [] - {03F6E661-0D5F-3FAD-3E2B-E261E3CB6CD2} = C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
===/
其中H:为U盘盘符。
检查H盘,发现 Ghost.pif 和 TIMP1atform.exe。
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 0.0.0003 beta1。
用 FileInfo 提取文件信息如下:
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-9 11:41:25
修改时间 : 2007-5-10 15:9:40
访问时间 : 2007-5-10 0:0:0
大小 : 12341 字节 12.53 KB
MD5 : f3d36c0a5bac3eae2a28063cac087102
Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo,瑞星报为:Trojan. HiJack.a
文件说明符 : H:/Ghost.pif
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 16:12:50
修改时间 : 2007-5-9 11:41:22
访问时间 : 2007-5-10 0:0:0
大小 : 18997 字节 18.565 KB
MD5 : 45680654f7e984aa1781fbee26603042
Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo
文件说明符 : H:/TIMP1atform.exe
属性 : ASHR
获取文件版本信息大小失败!创建时间 : 2007-1-22 10:14:35
修改时间 : 2007-5-10 16:57:42
访问时间 : 2007-5-10 0:0:0
大小 : 266752 字节 260.512 KB
MD5 : 049058e75e502174052a23655034cbaa
Kaspersky 报为 Worm.Win32.Agent.z
用 bat_do 0.0.0003 beta1 调用RAR打包,并使用延时删除。
重启电脑后,瑞星实时监控不再自动关闭……
安装瑞星卡卡安全助手,卸载 O24 项。
分享到:
相关推荐
http://www.pudn.com/Download/item/id/3755022.html;用于劫持系统模块HID.DLL 可做辅助修改内存等 (Used to hijack the system module HID.DLL can be used to modify the memory, etc.)
2. 依赖:Framework 2.0 3. 支持:Win2k/xp/server/vista 4. 特点:No Arp Spoof!!!!,内置winpcap for any winos ... ...1.开放自定义localip/mac/gateip/mac 2.增加noarp spoof的默认劫持方式;...3.noarpspoof方式只能同时...
打开应用,测试工具会尝试用自己的窗口覆盖被测的应用,如果劫持成功,会出现如下界面。 威胁等级:若客户端无法抵抗 Activity 界面劫持攻击时为中风险;若可以抵抗攻击则无风险。 安全建议:Activity劫持通常依靠...
所有收集类项目: :超过21K,包括Markdown和Json两种格式 :1000+各类安全资源收集的Github Repo: Windows平台安全:PE / DLL / DLL注入/Dll-Hijack/Dll-Load/UAC-Bypass/Sysmon/AppLocker/ETW/WSL/.NET/Process-...
带ARP欺骗攻击的渗透利刃--hijack.docx
Twisted-19.10.0-cp38-cp38-win32.whl Twisted-19.10.0-cp38-cp38-win32.whl
已经打包好了直接安装就行
DLL Hijack Auditor能够检测你的应用程序是否被劫持,一些恶意程序为了达到某一目的,会劫持软件的DLL动态库文件,这款Dll Hijack Auditor工具来实现防止劫持的目的,它可以一键检测Dll文件是否被劫持,哪些被...
python库。 资源全名:django-hijack-2.1.4.tar.gz
msimg32 QQ的msimg32.dll的HiJack
-S is spoof interval default is 3000 ms 设置发送RARP欺骗的时间间隔,不能设太大,不然程序会死,条件竞争问题 针对攻击一些反ARP欺骗的主机, 越小越好 -l is set logfile to record 设置日专记录文件,日志记录...
DLL劫持-Hijack-原理及其实现细节
chrome_form_hijack安装获取chrome dev扩展 https://chrome.google.com/webstore/detail/ohmmkhmmmpcnpikjeljgnaoabkaalbgc克隆仓库 git clone https://github.com/darkr4y/chrome_form_hijack更改收藏页面在x.js...
劫持hiJack将(使用crt.sh-证书透明性)收集目标的子域。 如果目标子域包含未注册的任何cname,它将通知您。 灵感来自bsides zuerich的@seckle_ch演讲用法添加一个附加子域文件(每行1个主机)和一个特定的DNS解析器...
藏经阁-Ghost-Telephonist-Link-Hijack-Exploitations-In-4G-LTE-CS-Fallback
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
打印杰克Printjacker是一个利用后的工具,可以通过使用Shellcode注入器覆盖Printconfig.dll来创建持久性机制。 可以通过对任何用户执行wmic printer list命令来调用持久性机制。 Shellcode将以SYSTEM特权执行。 详细...
:herb: fern-hijack.vim 一个用于的插件,该插件使fern.vim成为默认的文件浏览器,而不是Netrw。 用法 只需安装插件,然后默认文件浏览器将变为fern.vim。 用途可以通过以下方式确认: :e . 或从终端: vim . ...
anti-hijack-list通过劫持 ISP 用于劫持流量的域名来绕过 ISP 的流量劫持。由于第一次跳转所用的域名列表经常变化,某些广告联盟的域名也在此列表中。内容dnsmasq/hijack.conf DNSMasq 的域名解析规则如果您的局域网...