当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 颇能迷惑人的lssass.exe

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 颇能迷惑人的lssass.exe


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 139 ::
收藏到网摘: n/a

lssass.exe可能是个木马(后门)一类的东东。瑞星19.39.30病毒库查不到此毒。
这个木马比较狡猾。处理时须仔细分辨真假。否则,容易上当!
木马运行后,用假SERVICES.EXE替换真正的系统程序services.exe(将C:\WINDOWS\system32\目录下的系统程序services.exe改名为hbaxcsnp.dll,移到C:\WINDOWS\system32\wins\目录);C:\WINDOWS\system32\目录下的SERVICES.EXE变为木马程序。这个假冒的SERVICES.EXE文件大小与真的系统程序相同,只是MD5值不同。此外,还释放一个qrafgsy.dll到C:\WINDOWS\system32\目录下,此dll插在那个假冒的SERVICES.EXE进程中运行。

中招后的典型症状:
用IceSword查看进程列表时,可以发现两个services.exe进程。一个是dll图标(真正的系统进程;图1),另一个是.exe图标(木马进程;图2)。用SRENG扫日志,唯一可见的异常是:
[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ]
注意:进程号为PID:1716的services.exe进程中有一个异常模块qrafgsy.dll。
说到这儿,有必要强调一个基本常识:真正的系统进程services.exe加载较早,其PID号不会太大。单凭进程号判断,也可知道PID: 1716的那个SERVICES.EXE是假的。

用IceSword的手工杀毒流程:
1、结束那个假冒的SERVICES.EXE进程。注意:千万不要结束那个DLL图标的services.exe进程(指向C:\WINDOWS\system32\wins\hbaxcsnp.dll),否则,系统立即崩溃、重启。
2、删除C:\WINDOWS\system32\目录下的SERVICES.EXE和qrafgsy.dll(图3)。
3、将C:\WINDOWS\system32\wins\hbaxcsnp.dll改名为services.exe,拷回C:\WINDOWS\system32\目录。
4、重启系统。

图1
图2
 
图3