KeyFC欢迎致辞,点击播放
资源、介绍、历史、Q群等新人必读
KeyFC 社区总索引
如果你找到这个笔记本,请把它邮寄给我们的回忆
KeyFC 漂流瓶传递活动 Since 2011
 

关于lsass的一些引用和补充

[ 3071 查看 / 0 回复 ]

昨日发现本大人的机子突然多了一个LSASS.exe(注意大小写).判断其为病毒.于是上网查,发现其本体为半个多月前的火星物.遂将某原文转贴如下:
                     
                          作者:人生过客
--  发布时间:2006-7-12 8:52:26
--  系统的LSASS.EXE病毒

"昨天发现的。
看起来像系统的LSASS.EXE,其实不是。该病毒文件在%SYSTEM下,如c:\\winnt,c:\\windows\\,在任务管理器中就显示为两个lsass.exe,其中,LSASS.EXE为正常的系统进程,而LSASS.exe为病毒进程。

目前最新的趋势版本病毒码3.343,清除模块730,不能查出该病毒。

该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值。将exe文件打开链接关联到其生成的病毒程序%SYSTEM\\EXERT.exe上。
该病毒新建如下文件:
c:\\program files\\common files\\INTEXPLORE.pif
c:\\program files\\internet explorer\\INTEXPLORE.com
%SYSTEM\\debug\\debugprogram.exe
%SYSTEM\\system32\\Anskya0.exe
%SYSTEM\\system32\\dxdiag.com
%SYSTEM\\system32\\MSCONFIG.com
%SYSTEM\\system32\\regedit.com
%SYSTEM\\system32\\LSASS.exe
%SYSTEM\\system32\\EXERT.exe
清除时最好使用winpe光盘启动,否则运行regedit,就会在安全模式下激活病毒。
另外,该病毒一个特征:
在D:\\下建立autorun.inf、command.com两个病毒文件。
杀毒方法:
使用winpe光盘启动,如 深山红叶
找到并删除上述文件,并使用搜索功能,查找全部硬盘文件大小在41KB到43KB之间的所有文件,在结果中查看并删除大小为42.02KB的所有文件。
设定c:\\windows为当前系统盘,运行winpe中的注册表编辑器,删除RUN键值中的LSASS.exe条目,修改HKEY_CLASSES_ROOT下.exe默认键值回到exefile,修改HKEY_CLASSES_ROOT下exefile键值为"%1" %*。删除d:\\autorun.inf和command.com文件。'

    然后我补充一些:在d:\下会有可疑文件pagefile,建立同名只读文件换掉它.在C:\WINDOWS\Prefetch\ 下会有LSASS.exe.pf的文件.估计是其伪装成.exe在进程页上显示,那这就是它的本体了么?如果是,那又和引用文的说明不符.那就是变种了.这种东西会光顾我这台如此偏僻的机,真是难为它了......删掉它.
    也许有不少同志的机也"乐收'了此病毒.有比引用文和我所说的还简便或详细的不妨分享一下喽(引用文的方法也太麻烦了).
分享 转发

伟大的kfc土豆星制度!!!
TOP