网站首页 | 精品社区 | 市场行情 | 产品大全 | 网站地图 | RSS订阅 | 收藏本站

·你绝对无法拒绝! 喜欢Firefox3
·教你两招巧妙隐藏需保密文件
·企业招聘更加看重员工忠诚度
·学生抱怨无法定位 月收入多少
·为什么FlashGet下载前停顿很长

　　[internat.exe]究竟谁“伪装”成我了？

　　QQ密码侦探1.1版木马程序会伪装成internat.exe进程
　　
　　监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
　　
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSysTASK
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASK
　　
　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionSysTASK
　　
　　发送的邮箱、密码个数等信息放在
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASKSoftware
　　ServicesSecurityCommonSoftWareControlsFolderReconciliationPolicies
　　RetrictionAdspopwareConnection Wizard ExplorerShellServiceObjectDelayLoad
　　Windows Messaging SubsystemProtectedStorage 中
　　
　　启 动：随系统启动，驻留后台运行

　　外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。

　　对 策：

　　删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删除，可用下列方式进行删除

　　1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将smaxinte.exe改名为internat.exe

　　2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.EXE，将 smaxinte.exe改名为internat.exe了解注册表的再删除
　　
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSysTASK
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASK
　　
　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionSysTASK 3个相关键
　　
　　综 述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序。

文章导航： [internat.exe]系统进程分析 [internat.exe]进程经典问题解析 [internat.exe]究竟谁“伪装”成我了？

·教你两招巧妙隐藏需保密文件
·[inetinfo.exe]系统进程及相关问题分析
·[kernel32.dll]系统进程及相关问题分析
·[internat.exe]系统进程及相关病毒分析
·[lsass.exe]系统进程及相关病毒分析
·[mmtask.tsk]系统进程分析
·[regsvc.exe]系统进程分析
·[rpcss.exe]系统进程及相关问题分析
·[services.exe]系统进程及相关病毒分析
·[smss.exe]系统进程及相关病毒分析