9348采用了内核驱动保护技术与其它流氓篡改主页的手段不同,其主要技术包括
1 注册表主页设置驱动保护
2 驱动安装随机命名,驱动文件的名字和服务是随机的
3 加壳保护,驱动被加壳
以上三点对当前主流的ie修复和病毒查杀工具具有很强的对抗性,很难检测
注册表驱动保护修改导致超级兔子、优化大师、黄山等工具失效
随机命名使360等专杀很难查杀
加壳保护,这样作者可以很容易的修改一点驱动的程序再加壳,杀毒软件的文件特征立即失效、目前针对这类驱动壳杀毒软件几乎无法脱壳
针对以上问题村落安全顽固专杀采用驱动内核级查杀技术,查杀该流氓驱动,通用识别引擎提取多个基因特征进行检测。可以对9348极其相关的多个流氓网站进行查杀
2548.cn 2345.com 3929.cn 6700.cn kzxf.cn kz123.cn
下载页面 http://virsafe.cn/html/1/
Domain Name: 9348.cn
Registrant Organization: 张军
Registrant Name: 张军
Administrative Email: ns.charles@gmail.com
Sponsoring Registrar: 易名中国
Name Server:ns1.ename.cn
Name Server:ns2.ename.cn
Name Server:ns3.ename.cn
Name Server:ns4.ename.cn
Name Server:ns5.ename.cn
Name Server:ns6.ename.cn
Domain Name: 6700.cn
ROID: 20060904s10001s78400616-cn
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registrant Organization: 张军
Registrant Name: 张军
Administrative Email: ns.charles@gmail.com
Sponsoring Registrar: 易名中国
Name Server:ns1.ename.cn
Name Server:ns2.ename.cn
Name Server:ns3.ename.cn
Name Server:ns4.ename.cn
Name Server:ns5.ename.cn
Name Server:ns6.ename.cn
Domain Name: kz123.cn
ROID: 20070924s10001s77306367-cn
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registrant Organization: 张军
Registrant Name: 张军
Administrative Email: ns.charles@gmail.com
Sponsoring Registrar: 易名中国
Name Server:ns1.ename.cn
Name Server:ns2.ename.cn
Domain Name: 2548.cn
ROID: 20071026s10001s98340530-cn
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registrant Organization: 张军
Registrant Name: 张军
Administrative Email: ns.charles@gmail.com
Sponsoring Registrar: 易名中国
Name Server:ns1.ename.cn
Name Server:ns2.ename.cn
转http://hi.baidu.com/antivirusboy/blog/item/dc392d6059a8094debf8f8a6.html
遭遇9348.cn流氓
UE一看
00005dc0h: 00 00 00 00 00 00 00 00 77 00 77 00 77 00 2E 00 ; ........w.w.w...
00005dd0h: 39 00 33 00 34 00 38 00 2E 00 63 00 6E 00 2F 00 ; 9.3.4.8...c.n./.
00005de0h: 3F 00 32 00 30 00 35 00 34 00 37 00 31 00 00 00 ; ?.2.0.5.4.7.1...
00005df0h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ; ...............
00005bc0h: 7C F7 52 80 00 D7 55 80 5C 00 52 00 65 00 67 00 ; |鱎 .譛 \.R.e.g.
00005bd0h: 69 00 73 00 74 00 72 00 79 00 5C 00 4D 00 61 00 ; i.s.t.r.y.\.M.a.
00005be0h: 63 00 68 00 69 00 6E 00 65 00 5C 00 53 00 79 00 ; c.h.i.n.e.\.S.y.
00005bf0h: 73 00 74 00 65 00 6D 00 5C 00 43 00 75 00 72 00 ; s.t.e.m.\.C.u.r.
00005c00h: 72 00 65 00 6E 00 74 00 43 00 6F 00 6E 00 74 00 ; r.e.n.t.C.o.n.t.
00005c10h: 72 00 6F 00 6C 00 53 00 65 00 74 00 5C 00 53 00 ; r.o.l.S.e.t.\.S.
00005c20h: 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5C 00 ; e.r.v.i.c.e.s.\.
00005c30h: 6A 00 75 00 64 00 63 00 64 00 73 00 ; j.u.d.c.d.s.
Atool 擦除文件oanth.sys 重启后干掉 ,世界又恢复了,期间用了360扫描,把我的comres.dll和sptd.sys都干掉了 晕,这个9348.cn的驱动名字变化好像挺多的,看来还是要东特征码了 内核内存查杀
手动解决方法是把这个驱动对应的注册表启动项目judcds 干掉,
竟然发现了一篇帖子讲的用
http://musicao.blogbus.com/logs/41134745.html
9348.cn 流氓
不知道这个流氓下一步是不是就要保护它的注册表启动项了 或者关机回写。。。
另外驱动中还有如下一些域名
2548.cn 2345.com 3929.cn 6700.cn kzxf.cn kz123.cn
00005827h: 00 32 00 33 00 34 00 35 00 2E 00 63 00 6F 00 6D ; .2.3.4.5...c.o.m
00005837h: 00 00 00 00 00 32 00 36 00 35 00 2E 00 63 00 6F ; .....2.6.5...c.o
00005847h: 00 6D 00 00 00 68 00 61 00 6F 00 31 00 32 00 33 ; .m...h.a.o.1.2.3
00005857h: 00 2E 00 63 00 6F 00 6D 00 00 00 00 00 62 00 61 ; ...c.o.m.....b.a
00005867h: 00 69 00 64 00 75 00 2E 00 63 00 6F 00 6D 00 00 ; .i.d.u...c.o.m..
00005877h: 00 77 00 77 00 77 00 2E 00 67 00 6F 00 6F 00 67 ; .w.w.w...g.o.o.g
00005887h: 00 6C 00 65 00 2E 00 63 00 6E 00 00 00 77 00 77 ; .l.e...c.n...w.w
00005897h: 00 77 00 2E 00 36 00 37 00 30 00 30 00 2E 00 63 ; .w...6.7.0.0...c
000058a7h: 00 6E 00 00 00 77 00 77 00 77 00 2E 00 6B 00 7A ; .n...w.w.w...k.z
000058b7h: 00 78 00 66 00 2E 00 6E 00 65 00 74 00 00 00 00 ; .x.f...n.e.t....
000058c7h: 00 77 00 77 00 77 00 2E 00 33 00 39 00 32 00 39 ; .w.w.w...3.9.2.9
000058d7h: 00 2E 00 63 00 6E 00 00 00 77 00 77 00 77 00 2E ; ...c.n...w.w.w..
000058e7h: 00 32 00 35 00 34 00 38 00 2E 00 63 00 6E 00 00 ; .2.5.4.8...c.n..
000058f7h: 00 77 00 77 00 77 00 2E 00 6B 00 7A 00 31 00 32 ; .w.w.w...k.z.1.2
00005907h: 00 33 00 2E 00 63 00 6E 00 00 00 00 00 77 00 77 ; .3...c.n.....w.w
00005917h: 00 77 00 2E 00 39 00 33 00 34 00 38 00 2E 00 63 ; .w...9.3.4.8...c
00005927h: 00 6E 00 00 00 77 00 77 00 77 00 2E 00 37 00 32 ; .n...w.w.w...7.2
00005937h: 00 34 00 31 00 2E 00 63 00 ; .4.1...c.
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!