请选择入口:
主站
|
电信
|
网通
|
域名主机
下载,从天空开始!
首 页
|
分 类
|
排行榜
|
最近更新
|
装机必备
|
软件资讯
|
手机软件
|
软件商城
|
软件发布
新闻资讯
|
操作系统
|
联络聊天
|
网络工具
|
应用软件
|
病毒防治
|
办公软件
|
设计开发
抢鲜播报
专家评论
聊天工具
下载应用
安全技术
Photoshop
操作技巧
播放器
专题汇总
您的位置:
首页
->
软件资讯
->
病毒防治
->
安全辅助
-> 终截者再显神威,成功拦截Ravdm 盗Q木马
文章搜索
热门关键字:
QQ
QQ空间
IE8
下载
Photoshop
输入法
BT
windows7
本类文章
处理防火墙管理的五大实用方
防火墙慎选择 为网络选择可
安全专家远程救援,让地域不
力拓间谍门之鲁大师漏洞修复
Vista和Windows7防火墙性能
让Vista防火墙独当一面的设
卡巴反垃圾邮件3.0 获最佳产
利用网络分析进行主动性全权
Z武器帮你更新微软7月安全漏
《反木马病毒专家》防护功能
近期头条
百度或推操作系统 类似Chrome OS
搜狗浏览器1.4正式版 彻底摆脱崩溃困扰
用Photoshop制作粗糙金属质感效果
最新文章
Windows7发布会上 与鲁大师
鱼鱼桌面beta7 引领桌面3G潮
寻找童年 轻松打造《阿童木
畅游Win7,中国胜利11人软件
大力推广国产CAD软件——倪
美图秀秀2.0.4 优化闪图与摇
网络美女YUMMY教你做美图—
同花顺Level-2惊喜重重 金牌
由我世界 万圣节就要“洋着
Windows7下的加速利器--迅游
焦点回顾
开屏桌面画报-开启用户桌面新篇章
专题:使用美图秀秀 打造精彩人生
终截者再显神威,成功拦截Ravdm 盗Q木马
出处:
天空软件站
作者:
Sea
日期:2006-09-06
关键字:
终截者
前几天在我的爱机上无意中获得一个QQ盗号木马--wdm.exe的一个变种:Ravdm 木马病毒。这可恶的家伙竞然想盗我的QQ号,呵呵…!没门…!它在试图运行时就被我的终截者发现并拦截了。经过分析,此病毒的主程序为ravdm.exe ,运行后会释放下列文件:
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
经过测试,瑞星18.42对此病毒仍不报毒,下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。
首先我们先打开终截者,然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行,当其运行时终截者会弹出如下提示窗口。
在此,我们先点击这提示窗口中的“允许”按钮,把它放行,让其运行,然后我们再看其在我们系统中会做哪些动作?
首先,我们用Autoruns 查看工具查看系统的所有运行程序(如下图),我们发现Ravdm.exe病毒在注册表 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun 的路径下创建了一个数值名称为“9”的自启动值。
Ravdm.exe既然是一个QQ盗号木马,那现我们便来运行一个QQ,我们发现QQ启动后,终截者会弹出一个高危险的安全预警提示窗口(如下图所示)。(另注:我的QQ是用终截者的密码锁功能加了锁进行保护,如QQ没用密码锁进行保护,则无此报警提示)
TIMPlatform.exe 这文件本来是QQ的正常文件,终截者怎么会对它进行报警,且还报为是高危险的呢?原来,经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe 文件,原来Ravdm.exe木马运行后,会在QQ的目录下生成:TIMPlatfrom.exe、TIMPlatform.exe两个文件,并用其生成的TIMPlatform.exe替换QQ原来的正常文件。所以,刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…!看来终截者还是挺神的哦!
既然用终截者发现了Ravdm.exe木马并把它放过了,现我用来看再用终截者如何清除此人人喊杀的可恶家伙。
首先,我们用终截者的扫描功能扫描一遍系统,扫描完后,我来一起来看看扫描结果,如下图所示:
我们发现在这扫描结果中,有一个相当可疑的驱动—Rinld.sys,通过查找资料才发现这个文件也是Ravdm.exe木马运行后生成的驱动文件。哇赛…!那臭家伙竟然还生成那么多文件!等会,我们一一把它干掉。
接下来我们再用终截者的安全回归功能重启一遍系统,重启系统后,终截者提示禁止了一个程序的运行(如图1所示),我们再点击这提示窗口中的“打开编辑器”按钮,弹出编辑器窗口(如图2所示)。这家伙竟然还把自己伪装成是Microsoft 出品的程序,如果不留心,则很难看出Ravdm.exe文件是一个QQ盗号木马的主程序,它竟想逃过防毒软件 的查杀,但还是没逃出终截者的“如来佛”掌心。
安全回归后,我们就可一一清除Ravdm.exe运行后释放的下列文件:
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
另注:删除TIMPlatform.exe 文件后不影响QQ的正常使用。
我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]<9>
[Microsoft Corporation] [HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows]
<> []
到此为止,成功清除Ravdm 木马病毒。
[点击下载]
上一页
1
下一页
发给好友
加入收藏
举报本文
投稿信箱
上一篇:
工作效率大幅提高 GMail快捷键大
下一篇:
百度随手可用的桌面计算和换算
相关文章
更多>>
[
杀毒软件
]
终截者抗病毒软件2009版抢先预览
12-31
[
安全辅助
]
无招胜有招 终截者杀软有金钟罩
07-25
[
安全辅助
]
终截者抗毒软件已推出离线升级包
06-13
[
安全辅助
]
有终截者的安全狗看门,系统更安
02-20
[
安全辅助
]
全新体验 终截者抗病毒软件用后
12-27
[
安全辅助
]
终截者V6 密码防盗及安全回归功
12-24
[
抢鲜播报
]
终截者抗病毒 V6 Beta已隆重发布
12-19
[
安全辅助
]
终截者强劲防毒 所有病毒均未逃
12-17
相关软件
更多>>
[
病毒防治
]
终截者抗病毒软件离线升级包 V0
06-23
[
网络安全
]
终截者抗病毒软件 V6.1
03-08
[
网络安全
]
终截者抗病毒 2008 V6 Beta版
12-18
广告联系
|
版权声明
|
下载帮助
|
软件发布
|
镜像合作
Copyright © 1998 - 2009
Skycn.com
All Rights Reserved
京ICP证060522号
