当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 颇能迷惑人的lssass.exe

杀毒防毒
火眼金睛识别QQ盗号陷阱
防止QQ密码被盗的五个绝招
教你如何轻松找回被盗的QQ密码
防守也要反击:彻底粉碎QQ盗号阴谋
学看hijackthis日志
关闭电脑上没用的服务,防止网络攻击
棋差一着:360安全卫士遭中国雅虎陷害?
细数3721(雅虎助手)两年来的流氓升级史
系统保护只用两三招 病毒木马不上门
推荐!那些反流氓的软件们
详述木马的类型与伪装及应急办法
病毒、蠕虫与木马之间有什么区别?
铲除流氓软件利器 瑞星卡卡3.0试用
处处防范 保持警惕 远离病毒邮件
实例解析蠕虫病毒的原理
恶意网页病毒症状分析及简单修复方法
使用IceSword杀毒的一些基本操作
“熊猫烧香”病毒的病毒描述和发作行为
将木马拒之门外 设置电脑防止黑客入侵
教你手动清除“熊猫烧香”以及变种

杀毒防毒 中的 颇能迷惑人的lssass.exe


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 124 ::
收藏到网摘: n/a

lssass.exe可能是个木马(后门)一类的东东。瑞星19.39.30病毒库查不到此毒。
这个木马比较狡猾。处理时须仔细分辨真假。否则,容易上当!
木马运行后,用假SERVICES.EXE替换真正的系统程序services.exe(将C:\WINDOWS\system32\目录下的系统程序services.exe改名为hbaxcsnp.dll,移到C:\WINDOWS\system32\wins\目录);C:\WINDOWS\system32\目录下的SERVICES.EXE变为木马程序。这个假冒的SERVICES.EXE文件大小与真的系统程序相同,只是MD5值不同。此外,还释放一个qrafgsy.dll到C:\WINDOWS\system32\目录下,此dll插在那个假冒的SERVICES.EXE进程中运行。

中招后的典型症状:
用IceSword查看进程列表时,可以发现两个services.exe进程。一个是dll图标(真正的系统进程;图1),另一个是.exe图标(木马进程;图2)。用SRENG扫日志,唯一可见的异常是:
[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ]
注意:进程号为PID:1716的services.exe进程中有一个异常模块qrafgsy.dll。
说到这儿,有必要强调一个基本常识:真正的系统进程services.exe加载较早,其PID号不会太大。单凭进程号判断,也可知道PID: 1716的那个SERVICES.EXE是假的。

用IceSword的手工杀毒流程:
1、结束那个假冒的SERVICES.EXE进程。注意:千万不要结束那个DLL图标的services.exe进程(指向C:\WINDOWS\system32\wins\hbaxcsnp.dll),否则,系统立即崩溃、重启。
2、删除C:\WINDOWS\system32\目录下的SERVICES.EXE和qrafgsy.dll(图3)。
3、将C:\WINDOWS\system32\wins\hbaxcsnp.dll改名为services.exe,拷回C:\WINDOWS\system32\目录。
4、重启系统。

图1
图2
 
图3