cookies的注入
sniffer原理
0
2008/07/03 
12:56 
697
首先要澄清的一个概念是 infostealer.gampss病毒不是一个病毒,而是一个系列的病毒的名称。因此虽然你的杀软也告诉你中了infostealer.gampss病毒,但你网络上搜索的infostealer.gampss病毒的清除方法对你可能根本无效,这一点都不奇怪。
infostealer.gampss病毒 是 Symantec norton antivirus(诺顿)定义的以窃取游戏帐号、密码为主的木马类病毒。目前发现此类病毒的变种很多,一般具有随机文件名,可能会劫持AppInit_DLLs,也有可能会通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载DLL,某些时候还会劫持IFEO,使杀软失效。至于修改下系统时间让卡巴等变呆更是小儿科的行为。在IFEO劫持方面,有时会指向病毒的一个备份文件,有时却是正常的系统文件,其结果就是系统的死慢甚至假死。可参考本博的近期处理的几则案例。某些infostealer.gampss病毒会通过系统服务或者驱动的方式获得进一步的控制权。一般情况下还不会忘记对autorun.inf的利用。比较厉害的infostealer.gampss病毒会联合使用如上的各种可能,使得被清除变得不宜。
病毒行为:
1、由于这个种木马生成伪装系统文件,给手动删除造成迷惑,故需小心判定。
2、此木马会通过系统保护项重复生成感染。
3、此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件:Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,如果存在Windows\explorer.com则要先删除。
解决步骤:
1、关闭系统还原。开机启动时按F8,选择带网络的安全模式进入。使用360安全卫士的“查杀流行木马”程序查杀一遍木马。然后对“启动项”、“系统服务”和“系统进程”进行设置,清除那些未知的不安全因素。
2、打开我的电脑,然后点击“工具—文件夹选项”,在“查看”中,勾选“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件”前边的勾,去掉“隐藏已知文件类型的扩展名”前边的勾,。然后到以上描述的文件夹里,把相应的病毒文件删除。
如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
3、在资源管理器的地址栏上直接输入以下地址:
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\
C:\Documents and Settings\系统用户名\Local Settings\Temp\
然后将这三个临时文件夹中的文件全部直接删除。
4、删除自动运行的引用:
在注册表如果找到HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup或HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell,立即删除并重启机器。
5、打开注册表找到HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup或HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run,删除与以下两个文件有关的键值:C:\windows\system32\winbill*.dll、C:\program files\internet explorer\use19.dll,其中*代表数位数字。
6、清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell
HKEY_CURRENT_USER\software\bgm
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
7、删除文件:
使用资源管理器删除以下文件(如果存在):
w32bumaf-c.exe
%system%\winrarshell32.exe
%windows%\backup.exe
8、再次打开360安全卫士,“修复IE”。重新启动计算机。
9、用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。建议使用NOD32或卡巴斯基.
By 麦田守望者
infostealer.gampss病毒 是 Symantec norton antivirus(诺顿)定义的以窃取游戏帐号、密码为主的木马类病毒。目前发现此类病毒的变种很多,一般具有随机文件名,可能会劫持AppInit_DLLs,也有可能会通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载DLL,某些时候还会劫持IFEO,使杀软失效。至于修改下系统时间让卡巴等变呆更是小儿科的行为。在IFEO劫持方面,有时会指向病毒的一个备份文件,有时却是正常的系统文件,其结果就是系统的死慢甚至假死。可参考本博的近期处理的几则案例。某些infostealer.gampss病毒会通过系统服务或者驱动的方式获得进一步的控制权。一般情况下还不会忘记对autorun.inf的利用。比较厉害的infostealer.gampss病毒会联合使用如上的各种可能,使得被清除变得不宜。
病毒行为:
1、由于这个种木马生成伪装系统文件,给手动删除造成迷惑,故需小心判定。
2、此木马会通过系统保护项重复生成感染。
3、此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件:Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,如果存在Windows\explorer.com则要先删除。
解决步骤:
1、关闭系统还原。开机启动时按F8,选择带网络的安全模式进入。使用360安全卫士的“查杀流行木马”程序查杀一遍木马。然后对“启动项”、“系统服务”和“系统进程”进行设置,清除那些未知的不安全因素。
2、打开我的电脑,然后点击“工具—文件夹选项”,在“查看”中,勾选“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件”前边的勾,去掉“隐藏已知文件类型的扩展名”前边的勾,。然后到以上描述的文件夹里,把相应的病毒文件删除。
如果不能正确判断文件是否系统文件还是伪系统文件,可以下载最新的木马分析专家扫描分析,会列出这些文件名,然后用他的病毒文件定位,把它们一一删除。
3、在资源管理器的地址栏上直接输入以下地址:
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\
C:\Documents and Settings\系统用户名\Local Settings\Temp\
然后将这三个临时文件夹中的文件全部直接删除。
4、删除自动运行的引用:
在注册表如果找到HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup或HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell,立即删除并重启机器。
5、打开注册表找到HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup或HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run,删除与以下两个文件有关的键值:C:\windows\system32\winbill*.dll、C:\program files\internet explorer\use19.dll,其中*代表数位数字。
6、清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell
HKEY_CURRENT_USER\software\bgm
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup
7、删除文件:
使用资源管理器删除以下文件(如果存在):
w32bumaf-c.exe
%system%\winrarshell32.exe
%windows%\backup.exe
8、再次打开360安全卫士,“修复IE”。重新启动计算机。
9、用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。建议使用NOD32或卡巴斯基.
By 麦田守望者
收藏本文到网摘:
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=logo}
