9,506
社区成员
发帖
与我相关
我的任务
分享中了木马,RAVSOCKC.DLL
从路由器的日志发现开机后自动访问zgf.w8.c361.com:80,IP地址是121.14.139.12。
用netstat查看,发现通过本机的11xx端口连接到121.14.139.12,但过一会儿就没了。
查看启动项,发现一个叫作BITS的服务比较可疑,svchost调用的dll是c:\windows\system32\drivers\ravsockc.dll。
文件的修改日期是2008年8月22号。诸多现象表明这是一个木马,尝试直接删除,失败,重启至DOS下重命名为.bak,再到Windows里面BITS服务就启动不了,初步删除成功。
到网上搜索“ravsockc.dll”,压根本没有结果,后来总算摸到一点线索,貌似作者还在为它的作品能够过几个著名的杀软而沾沾自喜呢。
为了防止没有清除干净,安装了防火墙,添加IP规则和URL规则,禁止访问以上两个地址。
之前好像下载过一个“QQ第六感”,用来探测局域网的QQ号的,也是一个朋友想要,让我帮忙找的,估计就是这玩意儿惹的。
用netstat查看,发现通过本机的11xx端口连接到121.14.139.12,但过一会儿就没了。
查看启动项,发现一个叫作BITS的服务比较可疑,svchost调用的dll是c:\windows\system32\drivers\ravsockc.dll。
文件的修改日期是2008年8月22号。诸多现象表明这是一个木马,尝试直接删除,失败,重启至DOS下重命名为.bak,再到Windows里面BITS服务就启动不了,初步删除成功。
到网上搜索“ravsockc.dll”,压根本没有结果,后来总算摸到一点线索,貌似作者还在为它的作品能够过几个著名的杀软而沾沾自喜呢。
为了防止没有清除干净,安装了防火墙,添加IP规则和URL规则,禁止访问以上两个地址。
之前好像下载过一个“QQ第六感”,用来探测局域网的QQ号的,也是一个朋友想要,让我帮忙找的,估计就是这玩意儿惹的。
...全文
请发表友善的回复…
发表回复
oporinho 2008-09-08
- 打赏
- 举报
真是晕啊!偶用的是诺顿那款当初冲着老牌软件去买的,事实证明确实不错!现在买诺顿还送一年服务,真是不赖幺
lelige 2008-09-07
- 打赏
- 举报
Dear user !
We have received your submission of possible malware. Thank you very much for your support.
Our viruslab has indeed discovered a new virus in the files you have submitted.
1.File name:RAVSOCKC.dll
malware:Backdoor.Win32.Delf.dhd
For the above mentioned virus, the Rising Antivirus 2008 version 20.60.52 (Rising Antivirus 2007 version 19.91.52)will have respective virus definitions.Please do not upload compressed archives with or without password protection. For assistance, you may contact Rising customer service at any time. Please include the email address and serial number of your submission in any contact.
Please do not reply directly to this email. You can reply using the contact form at http://support.rising-global.com
We have received your submission of possible malware. Thank you very much for your support.
Our viruslab has indeed discovered a new virus in the files you have submitted.
1.File name:RAVSOCKC.dll
malware:Backdoor.Win32.Delf.dhd
For the above mentioned virus, the Rising Antivirus 2008 version 20.60.52 (Rising Antivirus 2007 version 19.91.52)will have respective virus definitions.Please do not upload compressed archives with or without password protection. For assistance, you may contact Rising customer service at any time. Please include the email address and serial number of your submission in any contact.
Please do not reply directly to this email. You can reply using the contact form at http://support.rising-global.com
lelige 2008-09-07
- 打赏
- 举报
瑞星的效率还蛮高的,5号提交了样本,今天(7号)的病毒库已经能查杀了。
Backdoor.Win32.Delf.dhd
结帖了,谢谢各位关注。
Backdoor.Win32.Delf.dhd
结帖了,谢谢各位关注。
kuaireo 2008-09-06
- 打赏
- 举报
powerRmv,别忘记替换策略
或者用xdel_box..这个我没用过,不过这个ms更加专业
或者用xdel_box..这个我没用过,不过这个ms更加专业
yourizi 2008-09-06
- 打赏
- 举报
回帖是一种美德!
lailaikanq 2008-09-06
- 打赏
- 举报
轻轻飘过!
lelige 2008-09-05
- 打赏
- 举报
[Quote=引用 1 楼 nongmin2006 的回复:]
安全模式下杀不干净吗,你用的什么杀毒啊.
[/Quote]
已经删掉了,没进安全模式,直接在DOS下用NTFS4DOS删掉了。
Rising 2008,关键是这个文件不具备杀毒软件查杀时所依据的特征码。
已经上报了,期待在新的定义库能查杀它。样本先留着,呵呵……
安全模式下杀不干净吗,你用的什么杀毒啊.
[/Quote]
已经删掉了,没进安全模式,直接在DOS下用NTFS4DOS删掉了。
Rising 2008,关键是这个文件不具备杀毒软件查杀时所依据的特征码。
已经上报了,期待在新的定义库能查杀它。样本先留着,呵呵……
nongmin2006 2008-09-05
- 打赏
- 举报
安全模式下杀不干净吗,你用的什么杀毒啊.
