五千年(敝帚自珍)

主题:【原创】与狼共舞,3721 病毒实战 -- landkid

共:💬32 🌺8
分页树展主题 · 全看首页 上页
/ 3
下页 末页
    • 家园 唉,大侠,你咋不是俺同事呢
    • 家园 呵呵,其实不用这么麻烦

      以前也是试过很多小工具来屏蔽这bullshit

      甚至都改过hosts文件

      现在装了微软的antispyware,基本上已经绝迹了

      对微软没好感的当然也可以试试别的反间谍软件,应该都有类似的功能,包括对恶意网站修改浏览器后的恢复。

      ---------

      其实这也是个见仁见智的问题,国内还是有很多人觉得这个东西很方便,不用记域名,或者上网时间不怎么长的人需要这么个“助手”来帮助他们。

    • 家园 请问如何检查是否中了3721呢?
    • 家园 前两天我家里的一台计算机上也出现了3721,好像我没怎么费劲就给搞掉了。

      好像都没有Reboot。(对不起,忘了我做了些什么)

      也许那不是最新的3721?Anyway,没给我什么麻烦。

      • 家园 呵呵,老High 兄肯定是遇见了低级版本的 3721

        再说说我的经历,看看新版的 3721 都有什么高招。

        首先 3721 在进程列表里是不显示的。它的核心文件叫做 cnswin.dll,你在进程中是找不到的。所以

        无法关闭。它是个驱动,并非系统进程。

        ----------------------------------

        单纯删除注册表中的启动项阻止它?呵呵,这个对 3721 太小儿科了。它早已练就了铜皮铁骨。见下文

        ----------------------------------

        它是以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载

        配合挂接hook的方式,在windows下极难查杀。

        ---------------------------------------------------------------------

        当我采用手工的方式删除文件的时候,对system32/drivers目录下的CnsMinKP.sys,

        WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll 都“无法删除”。

        因为文件正在使用。这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载

        它行不行?我尝试了一下, Windows xp的安全方式下都是要加载system32/drivers下的驱动,

        而如果想要取消加载,则需要修改注册表。但由于CnsMinKP.sys 已经被加载,之后修改注册表

        相关值无效,即使删除了启动项中的选项,它会自己修正回来。(你知道为啥电脑变慢了吧。

        它在背后忙着不断的循环检测注册表中的相关值)下次启动一样还是按照 3721 的路子走。

        ---------------------------------------------------

        我的实际经历是,用卸载软件立刻搜索出 3721 在启动组里的注册表值,各类文件,

        包括 RunOnce 的值。 一概删除之,但我立刻重新启动 Windows 的 安全模式,

        指望能避开 3721 的启动(我根本没指望普通模式能避的开。)但是仍然不行,

        注册表被改回,照老样子仍然启动了 3721 , 3721 这个目录和其中的文件

        依然正在使用中,不可删除。

        -----------------------------------------------------------

        所以可以肯定的是,结合专门删除软件 和 安全模式,一样 无法遏制已经加载了的

        CnsMinKP.sys 这个程序的再次加载。单纯的 Windows 路子,目前没有办法可以

        遏止 3721 加载的,这是我见到最完美的强行驻留方式。也是我见到编制最完美的病毒。

        它已经达到了 Windows 下完美的癞皮方式,以至于几乎毫无办法,只能进入 DOS

        才算解决了问题。但试问,周围人谁能没事玩玩 DOS 呢。对于一般人来说,3721 实在是

        个至善至美,永生不死的病毒。。。。。

        --------------------

        对付它的好办法当然是以防为主,要防住它,还是相对容易的多的。

        本文主要探讨的是如果已经中招的情况下,如何才能把它踢出去。

        ---------------------

        不过结论是 "真 TNND 的麻烦。。。。"

分页树展主题 · 全看首页 上页
/ 3
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河