baohe - 2006-9-18 21:59:00
这是个比较BT的木马下载器。运行后直接自网络上下载101371.exe。
101371.exe运行后,在C:\WINDOWS\Temp\文件夹中释放mssoak.exe。
mssoak.exe运行后——“天女散花”般地释放下列文件(夹):
1、C:\Program Files\Common Files\IE-Bar文件夹:
dmbar.dll
dmipn.dll
dmsched.exe
dmshell.dll
iebar.exe
license.txt
uninstall.exe
以上是“千橡互连”的东东。
2、C:\WINDOWS\system\83f73e71文件夹:
73de7.exe
73le7.dll
73ne7.dll
73re7.dll
3、C:\Documents and Settings\All Users\「开始」菜单\程序\启动
IE-Bar(快捷方式)
4、C:\Documents and Settings\baohelin\Templates\8cf5970文件夹:
1.dll
2.exe
3.dll
4.dll
5、C:\Documents and Settings\All Users\Application Data\clubmember\Cast文件夹:
bfrw_3028.inf
bfyswj.inf
dxgdgjc.inf
yxssj_3028.inf
6、C:\Documents and Settings\All Users\Application Data\clubmember\Cast\GGS文件夹:
hmd.idx
7、C:\windows\system32\drivers\fsprot.sys
8、C:\windows\system32\drivers\moprot.sys
大致轮廓如此。
注册表改动N处(眼都看花了)。明天再一一列举吧。
靠!!!!
这是个“流氓木马”合物啊!!!!!!!!
xp123 - 2006-9-18 22:03:00
ban zhu一定要补上哦
mopery - 2006-9-18 22:06:00
- -....猫叔 加油..
我不用测了..
别忘了 拿杀软看看他感染 .exe文件么 ..
特别是~.exe
baohe - 2006-9-18 22:07:00
| 引用: |
【mopery的贴子】- -....猫叔 加油..
我不用测了..
别忘了 拿杀软看看他感染 .exe文件么 ..
特别是~.exe
……………… |
sp1文件夹中的update.exe释放的文件:
附件:
1558472006918215936.jpg
baohe - 2006-9-18 22:08:00
sp1文件夹中的update.exe改动的注册表内容:
附件:
1558472006918220025.jpg
Sulo - 2006-9-18 22:26:00
跟帖子老实学习
weasta - 2006-9-18 22:39:00
我也学习
lansely - 2006-9-21 16:37:00
不学了 杀了一下午 累的我够呛
lansely - 2006-9-21 16:40:00
希望进一步观察并给出手动清楚方法
谢谢 我还没完全解决 前面时间都浪费在杀那些下载的病毒上了
不想一个人玩 - 2006-9-26 17:32:00
....学习ING
© 2000 - 2026 Rising Corp. Ltd.