电脑经管语言社科人文教育文学艺术科技少儿生活体育素材软件综合
  
当前位置:主页   - 电脑 - 网络技术 - 网络安全
9348.cn流氓分析及查杀
来源:网络   作者:vsafe   更新时间:2011-03-26
收藏此页】    【字号    】    【打印】    【关闭

  9348采用了内核驱动保护技术与其它流氓篡改主页的手段不同,其主要技术包括

  1 注册表主页设置驱动保护

  2 驱动安装随机命名,驱动文件的名字和服务是随机的

  3 加壳保护,驱动被加壳

  以上三点对当前主流的ie修复和病毒查杀工具具有很强的对抗性,很难检测

  注册表驱动保护修改导致超级兔子、优化大师、黄山等工具失效

  随机命名使360等专杀很难查杀

  加壳保护,这样作者可以很容易的修改一点驱动的程序再加壳,杀毒软件的文件特征立即失效、目前针对这类驱动壳杀毒软件几乎无法脱壳

  针对以上问题村落安全顽固专杀采用驱动内核级查杀技术,查杀该流氓驱动,通用识别引擎提取多个基因特征进行检测。可以对9348极其相关的多个流氓网站进行查杀

  2548.cn   2345.com 3929.cn 6700.cn kzxf.cn kz123.cn

  下载页面 http://virsafe.cn/html/1/

  Domain Name: 9348.cn

  Registrant Organization: 张军

  Registrant Name: 张军

  Administrative Email: ns.charles@gmail.com

  Sponsoring Registrar: 易名中国

  Name Server:ns1.ename.cn

  Name Server:ns2.ename.cn

  Name Server:ns3.ename.cn

  Name Server:ns4.ename.cn

  Name Server:ns5.ename.cn

  Name Server:ns6.ename.cn

  Domain Name: 6700.cn

  ROID: 20060904s10001s78400616-cn

  Domain Status: clientDeleteProhibited

  Domain Status: clientTransferProhibited

  Registrant Organization: 张军

  Registrant Name: 张军

  Administrative Email: ns.charles@gmail.com

  Sponsoring Registrar: 易名中国

  Name Server:ns1.ename.cn

  Name Server:ns2.ename.cn

  Name Server:ns3.ename.cn

  Name Server:ns4.ename.cn

  Name Server:ns5.ename.cn

  Name Server:ns6.ename.cn

  Domain Name: kz123.cn

  ROID: 20070924s10001s77306367-cn

  Domain Status: clientDeleteProhibited

  Domain Status: clientTransferProhibited

  Registrant Organization: 张军

  Registrant Name: 张军

  Administrative Email: ns.charles@gmail.com

  Sponsoring Registrar: 易名中国

  Name Server:ns1.ename.cn

  Name Server:ns2.ename.cn

  Domain Name: 2548.cn

  ROID: 20071026s10001s98340530-cn

  Domain Status: clientDeleteProhibited

  Domain Status: clientTransferProhibited

  Registrant Organization: 张军

  Registrant Name: 张军

  Administrative Email: ns.charles@gmail.com

  Sponsoring Registrar: 易名中国

  Name Server:ns1.ename.cn

  Name Server:ns2.ename.cn

  转http://hi.baidu.com/antivirusboy/blog/item/dc392d6059a8094debf8f8a6.html

  遭遇9348.cn流氓

  UE一看

  00005dc0h: 00 00 00 00 00 00 00 00 77 00 77 00 77 00 2E 00 ; ........w.w.w...

  00005dd0h: 39 00 33 00 34 00 38 00 2E 00 63 00 6E 00 2F 00 ; 9.3.4.8...c.n./.

  00005de0h: 3F 00 32 00 30 00 35 00 34 00 37 00 31 00 00 00 ; ?.2.0.5.4.7.1...

  00005df0h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ; ...............

  00005bc0h: 7C F7 52 80 00 D7 55 80 5C 00 52 00 65 00 67 00 ; |鱎 .譛 \.R.e.g.

  00005bd0h: 69 00 73 00 74 00 72 00 79 00 5C 00 4D 00 61 00 ; i.s.t.r.y.\.M.a.

  00005be0h: 63 00 68 00 69 00 6E 00 65 00 5C 00 53 00 79 00 ; c.h.i.n.e.\.S.y.

  00005bf0h: 73 00 74 00 65 00 6D 00 5C 00 43 00 75 00 72 00 ; s.t.e.m.\.C.u.r.

  00005c00h: 72 00 65 00 6E 00 74 00 43 00 6F 00 6E 00 74 00 ; r.e.n.t.C.o.n.t.

  00005c10h: 72 00 6F 00 6C 00 53 00 65 00 74 00 5C 00 53 00 ; r.o.l.S.e.t.\.S.

  00005c20h: 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5C 00 ; e.r.v.i.c.e.s.\.

  00005c30h: 6A 00 75 00 64 00 63 00 64 00 73 00             ; j.u.d.c.d.s.

  Atool 擦除文件oanth.sys 重启后干掉 ,世界又恢复了,期间用了360扫描,把我的comres.dll和sptd.sys都干掉了 晕,这个9348.cn的驱动名字变化好像挺多的,看来还是要东特征码了 内核内存查杀

  手动解决方法是把这个驱动对应的注册表启动项目judcds 干掉,

  竟然发现了一篇帖子讲的用

  http://musicao.blogbus.com/logs/41134745.html

  9348.cn 流氓

  不知道这个流氓下一步是不是就要保护它的注册表启动项了 或者关机回写。。。

  另外驱动中还有如下一些域名

  2548.cn   2345.com 3929.cn 6700.cn kzxf.cn kz123.cn

  00005827h: 00 32 00 33 00 34 00 35 00 2E 00 63 00 6F 00 6D ; .2.3.4.5...c.o.m

  00005837h: 00 00 00 00 00 32 00 36 00 35 00 2E 00 63 00 6F ; .....2.6.5...c.o

  00005847h: 00 6D 00 00 00 68 00 61 00 6F 00 31 00 32 00 33 ; .m...h.a.o.1.2.3

  00005857h: 00 2E 00 63 00 6F 00 6D 00 00 00 00 00 62 00 61 ; ...c.o.m.....b.a

  00005867h: 00 69 00 64 00 75 00 2E 00 63 00 6F 00 6D 00 00 ; .i.d.u...c.o.m..

  00005877h: 00 77 00 77 00 77 00 2E 00 67 00 6F 00 6F 00 67 ; .w.w.w...g.o.o.g

  00005887h: 00 6C 00 65 00 2E 00 63 00 6E 00 00 00 77 00 77 ; .l.e...c.n...w.w

  00005897h: 00 77 00 2E 00 36 00 37 00 30 00 30 00 2E 00 63 ; .w...6.7.0.0...c

  000058a7h: 00 6E 00 00 00 77 00 77 00 77 00 2E 00 6B 00 7A ; .n...w.w.w...k.z

  000058b7h: 00 78 00 66 00 2E 00 6E 00 65 00 74 00 00 00 00 ; .x.f...n.e.t....

  000058c7h: 00 77 00 77 00 77 00 2E 00 33 00 39 00 32 00 39 ; .w.w.w...3.9.2.9

  000058d7h: 00 2E 00 63 00 6E 00 00 00 77 00 77 00 77 00 2E ; ...c.n...w.w.w..

  000058e7h: 00 32 00 35 00 34 00 38 00 2E 00 63 00 6E 00 00 ; .2.5.4.8...c.n..

  000058f7h: 00 77 00 77 00 77 00 2E 00 6B 00 7A 00 31 00 32 ; .w.w.w...k.z.1.2

  00005907h: 00 33 00 2E 00 63 00 6E 00 00 00 00 00 77 00 77 ; .3...c.n.....w.w

  00005917h: 00 77 00 2E 00 39 00 33 00 34 00 38 00 2E 00 63 ; .w...9.3.4.8...c

  00005927h: 00 6E 00 00 00 77 00 77 00 77 00 2E 00 37 00 32 ; .n...w.w.w...7.2

  00005937h: 00 34 00 31 00 2E 00 63 00 ; .4.1...c.

其它资源
本类热门
热门排行
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明