当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 颇能迷惑人的lssass.exe

杀毒防毒
国内最“臭名昭著”的灰鸽子
杀掉进程的shellcode(netbsd/x86)
解析Java Script木马的攻与防
八大防火墙之较量
MiniBlog 3.0 漏洞
防止黑客入侵的安全设置技巧
堵住木马进入的可疑端口
僵尸网络蠕虫进入路由器
瑞星使用小技巧之主动防御
如何设置NOD32 才能无忧网上冲浪?
如何使用Dr.Web的计划任务功能
教你解除卡巴斯基2009的keylogger警报
Adobe公布Shockwave Player漏洞补丁
Dr.Web杀毒恢复被移动文件的办法
shellcode增加管理员账户开telnet
预防.exe后缀文件夹图标的病毒
微软杀毒软件只公布一天就被迫停止
黑客趁变形金刚热映发布病毒
半个月里有近263万网民感染新型病毒
当心“狂风下载器”暑期作恶

杀毒防毒 中的 颇能迷惑人的lssass.exe


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 132 ::
收藏到网摘: n/a

lssass.exe可能是个木马(后门)一类的东东。瑞星19.39.30病毒库查不到此毒。
这个木马比较狡猾。处理时须仔细分辨真假。否则,容易上当!
木马运行后,用假SERVICES.EXE替换真正的系统程序services.exe(将C:\WINDOWS\system32\目录下的系统程序services.exe改名为hbaxcsnp.dll,移到C:\WINDOWS\system32\wins\目录);C:\WINDOWS\system32\目录下的SERVICES.EXE变为木马程序。这个假冒的SERVICES.EXE文件大小与真的系统程序相同,只是MD5值不同。此外,还释放一个qrafgsy.dll到C:\WINDOWS\system32\目录下,此dll插在那个假冒的SERVICES.EXE进程中运行。

中招后的典型症状:
用IceSword查看进程列表时,可以发现两个services.exe进程。一个是dll图标(真正的系统进程;图1),另一个是.exe图标(木马进程;图2)。用SRENG扫日志,唯一可见的异常是:
[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ]
注意:进程号为PID:1716的services.exe进程中有一个异常模块qrafgsy.dll。
说到这儿,有必要强调一个基本常识:真正的系统进程services.exe加载较早,其PID号不会太大。单凭进程号判断,也可知道PID: 1716的那个SERVICES.EXE是假的。

用IceSword的手工杀毒流程:
1、结束那个假冒的SERVICES.EXE进程。注意:千万不要结束那个DLL图标的services.exe进程(指向C:\WINDOWS\system32\wins\hbaxcsnp.dll),否则,系统立即崩溃、重启。
2、删除C:\WINDOWS\system32\目录下的SERVICES.EXE和qrafgsy.dll(图3)。
3、将C:\WINDOWS\system32\wins\hbaxcsnp.dll改名为services.exe,拷回C:\WINDOWS\system32\目录。
4、重启系统。

图1
图2
 
图3