Re: [中毒] Yahoo信箱病毒-圖示是資料夾的執行檔

看板AntiVirus (防毒)作者junorn (威廉華勒斯)時間17年前 (2008/05/21 10:04)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串2/2 (看更多)

剛剛測了一下他會在你windows內產生幾個檔案 (以我這邊的測試啦) 因為用HIPS在測的時候他說直接對記憶體做存取所以看不出他有寫什麼訊息不過我用系統掃瞄軟體去檢查(EFix465，測試機上只有這個) 檢查出他在system32資料夾內產生幾個檔案 c:\windows\system32\rockts.com c:\windows\system32\rockts.dat c:\windows\system32\klog.dat 其中klog.dat是文字訊息看了一下基本上是會監控作業中視窗的視窗標題然後將你鍵盤輸入的資料記錄起來(鍵盤監控) 那因為我測試機沒裝防火牆所以不知道他有沒有上傳動作建議你去看一下那個klog.dat，看一下他是不是有記錄你的一些資訊有的話建議你到他裡面有顯示資訊的地方改一下比較好喔對了順便提他寫入的登錄值(確定是他寫的，其他有新增的我不敢確定就不打了) hklm\system\currentcontrolset\services\rockts 這邊是服務掛載。還有hklm\system32\currentcontrolset\enum\root\legacy_rockts 這是對應上面服務的資料基本上我這邊查到就這樣而已...看有沒有其他高手實地去測一下看看 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155 ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:08) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:11) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:18) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 11:51)