绿茶软件园
资讯首页 > 软件教程 > 网络安全 > CF三尸蛊是什么 CF三尸蛊木马清除方法

CF三尸蛊是什么 CF三尸蛊木马清除方法

作者:佚名 来源:绿茶软件园 2012-09-10 10:47:29 0

  安全检测中心检测到“CF三尸蛊”的CF盗号木马。该木马是一款带驱动的MBR型木马,属于远控木马,隐藏性高、内部瓦解、持久性强。黑客通过CF游戏外挂捆绑此木马病毒进行盗号,CF游戏玩家需要提高警惕。已经有不少玩家遭到毒手了~要注意~

  该木马会感染系统文件,破坏用户的安全软件,收集用户信息,修改用户浏览器的主页,连接黑客远程计算机使用户电脑完全被黑客掌控。此外,黑客在外挂中捆绑的木马具有较高的隐蔽性,并且能够破坏部分杀毒软件的云查杀功能,当用户出现账号被盗情况之后,启动杀毒软件云查杀扫描,部分杀毒软件会出现连接失败等异常情况。

  不过gmer没在禁止的列表,gmerhttp://www.6686.com/soft/6145.html

  CF三尸蛊盗号木马是怎么入侵玩家的电脑的

  1、三重保险——进入玩家电脑

  为了确保木马成功进入玩家电脑,黑客使用了三重保险来保证木马自启动成功:修改用户系统的MBR即用户硬盘的主引导区记录,确保优先注册系统启动;感染beep.sys系统文件

CF三尸蛊是什么 CF三尸蛊木马清除方法01

  创建木马驱动服务:释放cp.exe(功能以mima1用户运行程序)和拷贝自己到C:\Temp目录,创建mima1(Administrators权限)的用户。利用cp.exe Administrators权限断开用户网络和安装木马的驱动程序。

\
CF三尸蛊是什么 CF三尸蛊木马清除方法02

  通过 IpConfig /Release 命令断网避免安全软件的云查,断网后安全木马驱动模块。

  2、禁止用户浏览安全厂商网址——切断救援

  除了软化安全软件对自身的威胁,木马还防止用户自己去查询和求救。其主体safemon.dll 会修改用户浏览器主页,过滤部分安全软件厂商的网址,来禁止用户查询相关信息。让用户仿佛在一座孤岛上,绝望沦为“鱼肉”。

  3、完美驱动级隐藏——立足长远包藏祸心

  为了持久地破坏用户电脑,成功远程控制,该木马还费尽心思,改头换面,释放并安装NtHook.sys驱动程序,主要是HOOK内核中文件与注册表操作函数以达到隐藏自己的目的。恣意来日方长的远程连接木马作者计算机,使用户计算机成为“肉机”。

  4、注入木马主体——散布“害虫”内部瓦解

  通过驱动程序来监视系统中部分进程的创建过程,并把safemon.dll(病毒释放的主模块)注入到所创建的进程中。以达到从内核全速瓦解玩家电脑的目的。过程如下:

  ① 释放C:\\Windows\\System32\\safemon.dll(病毒主体文件).

  ② 注册系统创建进程通知函数 PsSetCreateProcessNotifyRoutine,过滤部分进程的创建行为,对①中释放的safemon.dll进行注入。

  5、屏蔽安全软件云查杀——幽禁用户安全部队

  该木马一手在玩家电脑内核翻云覆雨,一手又想在电脑网络只手遮天。它屏蔽了一些安全软件的云查杀IP地址,使得安全软件部分功能失效,无法进行云查杀或更新。

  不过幸好现在QQ电脑管家可以拦截了~

 

  手工杀毒法

 

  1、打开gmer--file--删除

  c:\Windows\System32\safemon.dll

  c:\Windows\System32\drivers\nthook.sys

  c:\Windows\System32\drivers\beep.sys

  存在则也删除

  c:\Windows\System32\drivers\p2phook.sys

CF三尸蛊是什么 CF三尸蛊木马清除方法03

 

CF三尸蛊是什么 CF三尸蛊木马清除方法04

  2、使用bootice重置MBR (或者在dos下或者控制台重置mbr,命令是 fdisk /mbr)

  XP系统选择“Windows NT 5.x默认引导程序”,然后点击“安装/配置”

  vista以上系统请选择“Windows NT 6.x默认引导程序”,然后点击“安装/配置”

CF三尸蛊是什么 CF三尸蛊木马清除方法05

  3、新建以下文件夹占坑和免疫

  c:\Windows\System32\safemon.dll

  c:\Windows\System32\drivers\nthook.sys

  c:\Windows\System32\drivers\p2phook.sys

 

关键词:
返回顶部