请选择入口:
主站
|
电信
|
网通
|
域名主机
下载,从天空开始!
首 页
|
分 类
|
排行榜
|
最近更新
|
装机必备
|
软件资讯
|
手机软件
|
软件商城
|
软件发布
新闻资讯
|
操作系统
|
联络聊天
|
网络工具
|
应用软件
|
病毒防治
|
办公软件
|
设计开发
抢鲜播报
专家评论
聊天工具
下载应用
安全技术
Photoshop
操作技巧
播放器
专题汇总
您的位置:
首页
->
软件资讯
->
病毒防治
->
安全辅助
-> 终截者再显神威,成功拦截Ravdm 盗Q木马
文章搜索
热门关键字:
QQ
QQ空间
IE8
下载
Photoshop
输入法
BT
windows7
本类文章
处理防火墙管理的五大实用方
防火墙慎选择 为网络选择可
安全专家远程救援,让地域不
力拓间谍门之鲁大师漏洞修复
Vista和Windows7防火墙性能
让Vista防火墙独当一面的设
卡巴反垃圾邮件3.0 获最佳产
利用网络分析进行主动性全权
Z武器帮你更新微软7月安全漏
《反木马病毒专家》防护功能
近期头条
百度或推操作系统 类似Chrome OS
操盘手趋势通——新一代炒股软件
用Photoshop制作粗糙金属质感效果
最新文章
详解Google操作系统Chrome
实录:谷歌Chrome OS演示会
微软应当担心Chrome OS十大
美股评论:谷歌的经典骗局
谷歌Chrome OS发布会现场实
驱动人生解决Windows7声卡安
改善缺陷 可牛撕边打造梦幻
iSee图片专家新版发布,华丽
硕思闪客精灵5.3,注册码限
广告圈知名网站助推PPTV品牌
焦点回顾
开屏桌面画报-开启用户桌面新篇章
专题:使用美图秀秀 打造精彩人生
终截者再显神威,成功拦截Ravdm 盗Q木马
出处:
天空软件站
作者:
Sea
日期:2006-09-06
关键字:
终截者
前几天在我的爱机上无意中获得一个QQ盗号木马--wdm.exe的一个变种:Ravdm 木马病毒。这可恶的家伙竞然想盗我的QQ号,呵呵…!没门…!它在试图运行时就被我的终截者发现并拦截了。经过分析,此病毒的主程序为ravdm.exe ,运行后会释放下列文件:
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
经过测试,瑞星18.42对此病毒仍不报毒,下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。
首先我们先打开终截者,然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行,当其运行时终截者会弹出如下提示窗口。
在此,我们先点击这提示窗口中的“允许”按钮,把它放行,让其运行,然后我们再看其在我们系统中会做哪些动作?
首先,我们用Autoruns 查看工具查看系统的所有运行程序(如下图),我们发现Ravdm.exe病毒在注册表 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun 的路径下创建了一个数值名称为“9”的自启动值。
Ravdm.exe既然是一个QQ盗号木马,那现我们便来运行一个QQ,我们发现QQ启动后,终截者会弹出一个高危险的安全预警提示窗口(如下图所示)。(另注:我的QQ是用终截者的密码锁功能加了锁进行保护,如QQ没用密码锁进行保护,则无此报警提示)
TIMPlatform.exe 这文件本来是QQ的正常文件,终截者怎么会对它进行报警,且还报为是高危险的呢?原来,经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe 文件,原来Ravdm.exe木马运行后,会在QQ的目录下生成:TIMPlatfrom.exe、TIMPlatform.exe两个文件,并用其生成的TIMPlatform.exe替换QQ原来的正常文件。所以,刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…!看来终截者还是挺神的哦!
既然用终截者发现了Ravdm.exe木马并把它放过了,现我用来看再用终截者如何清除此人人喊杀的可恶家伙。
首先,我们用终截者的扫描功能扫描一遍系统,扫描完后,我来一起来看看扫描结果,如下图所示:
我们发现在这扫描结果中,有一个相当可疑的驱动—Rinld.sys,通过查找资料才发现这个文件也是Ravdm.exe木马运行后生成的驱动文件。哇赛…!那臭家伙竟然还生成那么多文件!等会,我们一一把它干掉。
接下来我们再用终截者的安全回归功能重启一遍系统,重启系统后,终截者提示禁止了一个程序的运行(如图1所示),我们再点击这提示窗口中的“打开编辑器”按钮,弹出编辑器窗口(如图2所示)。这家伙竟然还把自己伪装成是Microsoft 出品的程序,如果不留心,则很难看出Ravdm.exe文件是一个QQ盗号木马的主程序,它竟想逃过防毒软件 的查杀,但还是没逃出终截者的“如来佛”掌心。
安全回归后,我们就可一一清除Ravdm.exe运行后释放的下列文件:
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
另注:删除TIMPlatform.exe 文件后不影响QQ的正常使用。
我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]<9>
[Microsoft Corporation] [HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows]
<> []
到此为止,成功清除Ravdm 木马病毒。
[点击下载]
上一页
1
下一页
发给好友
加入收藏
举报本文
投稿信箱
上一篇:
工作效率大幅提高 GMail快捷键大
下一篇:
百度随手可用的桌面计算和换算
相关文章
更多>>
[
杀毒软件
]
终截者抗病毒软件2009版抢先预览
12-31
[
安全辅助
]
无招胜有招 终截者杀软有金钟罩
07-25
[
安全辅助
]
终截者抗毒软件已推出离线升级包
06-13
[
安全辅助
]
有终截者的安全狗看门,系统更安
02-20
[
安全辅助
]
全新体验 终截者抗病毒软件用后
12-27
[
安全辅助
]
终截者V6 密码防盗及安全回归功
12-24
[
抢鲜播报
]
终截者抗病毒 V6 Beta已隆重发布
12-19
[
安全辅助
]
终截者强劲防毒 所有病毒均未逃
12-17
相关软件
更多>>
[
病毒防治
]
终截者抗病毒软件离线升级包 V0
06-23
[
网络安全
]
终截者抗病毒软件 V6.1
03-08
[
网络安全
]
终截者抗病毒 2008 V6 Beta版
12-18
广告联系
|
版权声明
|
下载帮助
|
软件发布
|
镜像合作
Copyright © 1998 - 2009
Skycn.com
All Rights Reserved
京ICP证060522号
