彩虹桥木马程序backdoor.win32.bifrose.gel查杀

最新推荐文章于 2019-06-25 15:01:00 发布
最新推荐文章于 2019-06-25 15:01:00 发布
阅读量793 收藏
点赞数
原文链接:http://www.cnblogs.com/kangderui/archive/2010/01/01/1637342.html
版权

彩虹桥木马摘要

彩虹桥木马是使用vb编写的后门程序,由微点主动防御软件自动捕获,未加壳,样本长度为“421,376 字节”,图标为“”,使用“exe”扩展名,通过“诱骗用户点击”、“文件捆绑”等途径植入用户计算机

彩虹桥木马主要功能可盗取文件,窃取密码、记录键盘、摄像头录像,使用户隐私完全暴露于病毒种植者,沦陷为傀儡主机
 

彩虹桥木马分析

该样本被执行后, 将修改注册表,映像劫持下列安全软件进程,将下列进程指向“ifeofile”,相关进程如下:

在系统目录“%systrmdrive%”下建立“temp”文件夹,释放随机文件名文件“qpxyn492008d.exe”至此目录,随后将其运行。

“qpxyn492008d.exe”运行后,将以挂起方式启动进程“iexplore.exe”,申请空间将自身代码写入,执行远程线程将写入的代码作为其一个线程运行,“iexplore.exe”启动后,将复制“qpxyn492008d.exe”至系统目录 “%commonprogramfiles%\microsoft shared\msinfo\”,并重命名为“network.exe”,修改注册表,将“network.exe”注册为服务,相关注册表键值如下:

 项:“hkey_local_machine\system\currentcontrolset\services\network location”
  键:“type”
  数据:110
  键:“start”
  数据:“02”
  键:“imagepath”
  数据:“c:\program files\common files\microsoft shared\msinfo\network.exe”
  键:“displayname”
  数据:“network location awareness”
  键:“description”
  数据:“收集并保存网络配置和位置信息”

随后“iexplore.exe”将删除“qpxyn492008d.exe”,后台联网通过空间“http://qqg**d.micro8oft.com/2**8dnewip.txt”上读取后门种植者所设置的ip地址和端口号进行反向连接,连接成功后与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机


彩虹桥木马防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


      图1 主动防御自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"backdoor.win32.bifrose.gel”,请直接选择删除(如图2)。


      图2 升级后截获已知病毒

转载于:https://www.cnblogs.com/kangderui/archive/2010/01/01/1637342.html

weixin_30646505
关注
Backdoor.Win32.Hupigon.cj[AVP]
落叶树的BLOG
10-08 1379
病毒别名:Win32.Hack.Hupigon.j 处理时间:威胁级别:★★中文名称:灰鸽子变种J病毒类型:黑客程序影响系统:Win9x / WinNT病毒行为:这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“sms
Backdoor.Zegost木马病毒分析(一)
墨鱼菜鸡
12-27 190
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小:159288 字节 文件类型:EXE文件 病毒名称:Win32.Backdoor.Zegost 样本MD5:C176AF21AECB3...
Bifrost 彩虹桥 远程控制(所有版本)
03-21
彩虹桥远程控制(Bifrost) 收集的不同版本,原版的,脱壳的,西班牙语的..等等
Bifrost原版合集(国外著名远控)
08-04
Bifrost v1.0到Bifrost v1.102都有,珍藏已久,拿出来分享 包含Bifrost v1.2 b Private
Bifrost RAT 流量分析报告
DFMASTER的博客
05-30 1115
使用方法 1.在Builder页面设置IP、端口、密码,然后Build生成木马 2.设置密码和监听端口,当受控靶机运行木马时即可上线 检测方案 1.检测心跳包,时间间隔为15s,为TCP的三个包。时间间隔根据不同版本而不同。版本为Birost1.2.1d的时间间隔为12秒 2.检测短数据包,数据长度为40-159的数据包占比为79.98% 3.当远控工具产生交互行为时,上行流量大于下...
Backdoor:Win32/Dedipros.A(Microsoft)分析
weixin_30274627的博客
02-16 400
壳:ORiEN 2.11 - 2.12 -> Fisun Alexander *壳 ICO:Size:188,416 字节MD5:1b248d7c8e71a64a591131e986c8f724 1、开启进程:svchost.exe路径指向C:\DOCUME~1\xp_en\LOCALS~1\Temp\V2011\svchost.exe 2、结束的杀毒列表 3、手动...
Backdoor.Win32.Rbot病毒专杀
02-17
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
Backdoor.Win32.Hupigon.dsx专杀
06-14
【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符...
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Backdoor.Win32.Delf.aws
03-29
Backdoor.Win32.Delf.aws 病毒样本。
黑防原版远程控制黑防原版远程控制黑防原版远程控制
12-02
黑防原版远程控制黑防原版远程控制黑防原版远程控制
自修改代码浅析
憩园幽幽的专栏
09-15 3172
相信大家都在程序调试或者分析中碰到过自修改代码的情况吧。所谓自修改代码,就是程序自我保护的一种机制。它使我们的反汇编调试器看起来相当地无助。因为我们看到的所谓的反汇编代码并非执行过程中的代码,它表面上看起来不合逻辑甚至一塌糊涂,但是运行起来却井井有条。因此,这项技术被广泛用在那些反破解的商业软件中,在试图bypass杀毒软件的黑客软件中也颇有涉及。在另一方面,cracker
什么是木马(Trojan)? 认识远程访问木马(RAT)
亚信安全-云安全博客
11-29 4242
作者:Vic Hargrave 为什么到处都是木马,我要如何阻止他们? 想要在网络上保持安全、不受伤害可能是个艰难的任务。网络上有许多很棒的东西,不过同样对初学者来说也可能是个地雷区,充斥着网络钓鱼诈骗、垃圾邮件和恶意软件。 在信息安全产业中,我们可能难以避免地使用一些难懂的术语。你可能已经在一些新闻报导里听过木马程序,并且可能会介绍详细的网络攻击方式。因此让我们用白话来介绍,看看最常见的威
Trojan.Backdoor分析
weixin_30561177的博客
03-25 403
总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导...
Backdoor.Win32.Rbot病毒防治
塔维斯
08-27 2216
Backdoor.Win32.Rbot病毒是一个恶意后门病毒,中毒的机器会在后台下载更多恶意程序,可造成用户机器被远程控制,资料被盗等。该病毒最典型的特征是在有可执行文件的目录下生成LPK.DLL文件,当同目录中的EXE运行时,会被WINDOWS动态链接,从而激活病毒,导致不能彻底清除。 该样本是使用“VC”编写的盗号木马,采用“NSpack”加壳方式,企图躲避特征码扫描,加壳后长度为“16,9
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
热门推荐
baixie3922的博客
06-25 1万+
最近写了一个桌面程序,里面用了些读取系统环境变量、提取文件图标、启动外部程序之类的操作。 然后…………卡巴斯基就把它识别成了HEUR:Trojan.Win32.Generic………… 咱遵纪守法好程序,怎么说是木马就是木马了呢??? 然而问题就是问题,该解决还是得解决…… 在各种失败的尝试之后,试着把程序声明为需要管理员权限执行,结果……卡巴斯基不再动手了! 这什么原理…………...
解决病毒Backdoor.Win32.SdBot.afg(Backdoor.SdBot.kxe)
Purpleendurer@CSDN
05-27 2078
endurer 原创2006-05-27 第1版今天一位朋友说他的电脑无法上联众玩游戏,让我帮忙看看。该朋友的电脑系统是新装的Win 2000,未打任何补丁,装有金山毒霸和金山网镖。启动联众程序,金山网镖就弹出询问窗口,该朋友不明白这个东东,所以选择了不允许,就玩不了游戏了。在打系统补丁时,用HijackThis扫描log,发现可疑启动项:O4 - HKLM/../Run: [Fi
estimate = model.estimate_effect(identified_estimand, method_name=“backdoor.linear_regression”),除了backdoor.linear_regression,还有什么方法,请写出代码
最新发布
10-04
除了`backdoor.linear_regression`方法,还有其他一些用于估计因果效应的方法。以下是一些常见的方法及其对应的代码示例: 1. 基于倾向得分匹配(Propensity Score Matching)的方法: ```python estimate = model.estimate_effect(identified_estimand, method_name="propensity_score_matching") ``` 2. 基于工具变量回归(Instrumental Variable Regression)的方法: ```python estimate = model.estimate_effect(identified_estimand, method_name="instrumental_variable_regression") ``` 3. 基于平均处理效果(Average Treatment Effect on the Treated, ATE)的方法: ```python estimate = model.estimate_effect(identified_estimand, method_name="average_treatment_effect") ``` 4. 基于条件处理效果(Conditional Treatment Effect, CTE)的方法: ```python estimate = model.estimate_effect(identified_estimand, method_name="conditional_treatment_effect") ``` 请注意,这些方法的具体实现和可用性取决于您使用的因果推断库或框架。在实际使用中,请查阅相关文档以了解支持的方法和相应的参数设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值