打印

[讨论]rundll32.exe对应了好多端口不知道是什么病毒

haicao

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员项目主管

帖子: 429
精华: 24
积分: 5195
阅读权限: 200
性别: 男
在线时间: 164 小时
注册时间: 2004-10-5
最后登录: 2008-10-27

软件研发奖技术活跃奖原创技术奖

发短消息
加为好友
当前离线

楼主大中小发表于 2005-5-11 09:33 只看该作者

[讨论]rundll32.exe对应了好多端口不知道是什么病毒

议题提交：haicao [E.S.T]
信息来源：邪恶八进制信息安全团队

用mcafee没查到病毒。
rundll32.exe对应了好多端口，不知道是什么病毒？
1360 Rundll32 -> XXXX TCP C:\Program Files\Rundll32.exe
一大把

大家帮忙看看。

rundll32.exe它是一个病毒文件。但就是不清楚是什么毒病。

图标和系统的rundll32.exe不一样。肯定不是系统文件。
用fport.exe看到对应一大把连续的端口

在我纯真年少時,有一個女生,她願意爲我失去生命,她意志堅定地說:你再纏著我,我就去死! 在我負笈外地時,有一個女生,她願意等我到下輩子,她溫柔婉約地說:你想成爲我男友?等下輩子!! 在我窮困潦倒時,有一個女生,她願意與我共赴黃泉,她眨著紅眼說:你再不還錢,我和你同歸于盡!

TOP

haicao

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员项目主管

帖子: 429
精华: 24
积分: 5195
阅读权限: 200
性别: 男
在线时间: 164 小时
注册时间: 2004-10-5
最后登录: 2008-10-27

软件研发奖技术活跃奖原创技术奖

发短消息
加为好友
当前离线

沙发大中小发表于 2005-5-11 09:34 只看该作者

1360 Rundll32 -> XXXX TCP C:\Program Files\Rundll32.exe
一大把

在我纯真年少時,有一個女生,她願意爲我失去生命,她意志堅定地說:你再纏著我,我就去死! 在我負笈外地時,有一個女生,她願意等我到下輩子,她溫柔婉約地說:你想成爲我男友?等下輩子!! 在我窮困潦倒時,有一個女生,她願意與我共赴黃泉,她眨著紅眼說:你再不還錢,我和你同歸于盡!

TOP

a11yesno

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 125
精华: 6
积分: 3491
阅读权限: 100
在线时间: 81 小时
注册时间: 2005-2-4
最后登录: 2008-11-19

发短消息
加为好友
当前离线

椅子大中小发表于 2005-5-11 10:24 只看该作者

默认Rundll32.exe
不应该出现在你所说的文件夹

我没头像了。。。

TOP

落叶树

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 910
精华: 42
积分: 5712
阅读权限: 100
性别: 男
在线时间: 556 小时
注册时间: 2004-8-21
最后登录: 2008-10-27

发短消息
加为好友
当前离线

板凳大中小发表于 2005-5-11 11:05 只看该作者

最好看一下是什么调用了这个“rundll32”

BLOG: http://blog.csdn.net/hkbyest

TOP

haicao

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员项目主管

帖子: 429
精华: 24
积分: 5195
阅读权限: 200
性别: 男
在线时间: 164 小时
注册时间: 2004-10-5
最后登录: 2008-10-27

软件研发奖技术活跃奖原创技术奖

发短消息
加为好友
当前离线

地板大中小发表于 2005-5-11 12:30 只看该作者

它是一个病毒文件。但就是不清楚是什么毒病。

图标和系统的rundll32.exe不一样。肯定不是系统文件。
用fport.exe看到对应一大把连续的端口

在我纯真年少時,有一個女生,她願意爲我失去生命,她意志堅定地說:你再纏著我,我就去死! 在我負笈外地時,有一個女生,她願意等我到下輩子,她溫柔婉約地說:你想成爲我男友?等下輩子!! 在我窮困潦倒時,有一個女生,她願意與我共赴黃泉,她眨著紅眼說:你再不還錢,我和你同歸于盡!

TOP

a11yesno

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 125
精华: 6
积分: 3491
阅读权限: 100
在线时间: 81 小时
注册时间: 2005-2-4
最后登录: 2008-11-19

发短消息
加为好友
当前离线

6楼大中小发表于 2005-5-11 12:58 只看该作者

查看注册表！

脱壳！

反汇编！

我没头像了。。。

TOP

风泽

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员 CIO

帖子: 453
精华: 26
积分: 6241
阅读权限: 200
性别: 男
在线时间: 1019 小时
注册时间: 2004-7-6
最后登录: 2008-11-19

原创技术奖软件研发奖核心建议奖优秀管理奖

发短消息
加为好友
当前离线

7楼大中小发表于 2005-5-11 23:55 只看该作者

最好是脱壳反汇编，这样可以大概知道软件做了什么。
还有最好对端口进行嗅探。

http://hi.baidu.com/fengze

TOP

冰血封情

老林

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T运营责任人

帖子: 6828
精华: 834
积分: 36067
阅读权限: 255
性别: 男
来自: 中国
在线时间: 597 小时
注册时间: 2004-6-25
最后登录: 2008-11-18

优秀管理奖资料收集奖原创技术奖核心建议奖

发短消息
加为好友
当前离线

8楼大中小发表于 2005-5-12 00:03 只看该作者

我一般的思路是首先用端口到进程看看...
C:\Program Files\Rundll32.exe这个地址肯定不对而且又起这种名字实在是有点嫌疑
现在你先检查文件关联和启动项目如果有这两个地方好点的后门是必然要做的一般在这里都可以找到很多信息的...
然后找端口资料可以参考但是现在一般都可以修改不能完全信任...

当然不排除是spyware或者是adware...

qq310926是我唯一用号，除此之外有其他号码号自称邪八冰血封情，则非本人。

TOP

linzi

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 154
精华: 12
积分: 3798
阅读权限: 100
性别: 男
在线时间: 22 小时
注册时间: 2005-2-3
最后登录: 2008-11-6

发短消息
加为好友
当前离线

9楼大中小发表于 2005-5-12 12:38 只看该作者

也有可能是中了我在挂马时的木马,我的马儿的名字也是rundll.exe
哈哈,你是不是上过什么热线的,像上海热线,重庆,温州的等等,有的话就有可能了,哈

此ID为马甲.多人使用.

TOP

落叶树

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 910
精华: 42
积分: 5712
阅读权限: 100
性别: 男
在线时间: 556 小时
注册时间: 2004-8-21
最后登录: 2008-10-27

发短消息
加为好友
当前离线

10楼 大中小发表于 2005-5-12 13:06 只看该作者

1360 Rundll32 -> XXXX TCP C:\Program Files\Rundll32.exe

no rundll.exe

BLOG: http://blog.csdn.net/hkbyest

TOP

haicao

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员项目主管

帖子: 429
精华: 24
积分: 5195
阅读权限: 200
性别: 男
在线时间: 164 小时
注册时间: 2004-10-5
最后登录: 2008-10-27

软件研发奖技术活跃奖原创技术奖

发短消息
加为好友
当前离线

11楼 大中小发表于 2005-5-12 14:27 只看该作者

引用:

下面是引用linzi于05-12-2005 12:38发表的:
也有可能是中了我在挂马时的木马,我的马儿的名字也是rundll.exe
哈哈,你是不是上过什么热线的,像上海热线,重庆,温州的等等,有的话就有可能了,哈

太有可能了，晕死。
你这是什么木马？

在我纯真年少時,有一個女生,她願意爲我失去生命,她意志堅定地說:你再纏著我,我就去死! 在我負笈外地時,有一個女生,她願意等我到下輩子,她溫柔婉約地說:你想成爲我男友?等下輩子!! 在我窮困潦倒時,有一個女生,她願意與我共赴黃泉,她眨著紅眼說:你再不還錢,我和你同歸于盡!

TOP

baker95935

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 17
阅读权限: 40
性别: 男
在线时间: 5 小时
注册时间: 2005-1-24
最后登录: 2008-8-23

发短消息
加为好友
当前离线

12楼 大中小发表于 2005-5-12 18:08 只看该作者

我给自己的同学杀过rundll.exe，
是个玩游戏的哥们，怎么会中你的那个毒，
汗

TOP

baker95935

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 17
阅读权限: 40
性别: 男
在线时间: 5 小时
注册时间: 2005-1-24
最后登录: 2008-8-23

发短消息
加为好友
当前离线

13楼 大中小发表于 2005-5-12 18:11 只看该作者

用木马辅助查找器看看关联着什么不叫得了，
实在不行用icesword,

TOP

EvilOctal

团队执行官

Rank: 8 Rank: 8

E.S.T社区执行帐号

帖子: 9863
精华: 771
积分: 40912
阅读权限: 200
性别: 男
在线时间: 3985 小时
注册时间: 2004-7-4
最后登录: 2008-11-23

发短消息
加为好友
当前离线

14楼 大中小发表于 2005-5-12 19:10 只看该作者

引用:

下面是引用linzi于05-12-2005 12:38发表的:
也有可能是中了我在挂马时的木马,我的马儿的名字也是rundll.exe
哈哈,你是不是上过什么热线的,像上海热线,重庆,温州的等等,有的话就有可能了,哈

晕有主了...提供个样本分析的说？

曾几何时，有人对我说：装B遭雷劈。我说：去你妈的。于是，这个人又对我说：如果再说脏话，上帝会惩罚你的。我说：我操上帝。结论：彪悍的人生不需要上帝。

TOP

千寂孤城

Fypher

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 193
精华: 2
积分: 962
阅读权限: 100
性别: 男
在线时间: 49 小时
注册时间: 2005-5-26
最后登录: 2008-11-22

发短消息
加为好友
当前离线

15楼 大中小发表于 2005-6-7 13:37 只看该作者

我也说一说我的思路：
1、先用木马克星之类的软件杀一杀。（如果能杀的话毕竟比手动好）
2、如果杀不了的话就把它删了，删不了就先结束进程再删，再不行就到安全模式里去搞。
3、然后看启动里加载哪些程序（[开始]里的启动、msconfig、注册表、或是干脆用优化大师看），把可疑的程序统统从启动项里删掉，再把硬盘上对应的程序也都删了，但要记住这些文件的名字，因为等会儿清除注册表的时候要用到。当然也可以问问百度大叔看他认不认识这些东西。
4、清除注册表：搜索刚才找到的所有可疑文件的名字（搜索时不要加扩展名，也不忙搜索那个“rundll32”，它比较麻烦，因为总不能把所有的rundll32都删了吧。），把对应的键值全删了。至于那个rundll32.exe可以试试搜索“Program Files\Rundll32”,如果这样查出来了的就准是病毒了。
5、重新启动，再去看看进程头里，启动里头和那些被删了的文件的地方。看这些讨厌的东西有没有“死灰复燃”。

You're my FF~, forever~ ^_^