| 引用: |
【breach的贴子】http://bbs.52happy.net/ 这个论坛好象只有会员才有搜索功能,需要注册的话却出现(本论坛目前只有收到已注册会员邀请者才能注册),您可以直接告诉我答案吗?或者您给我一个已注册会员邀请者的注册邀请码也行。谢谢您.
……………… |
原帖转录如下:
Worm.Viking
这几天一直看到不少求援的帖子,从帖子内容看一直都只认为是个QQ尾巴,通过QQ自动发送如下消息:
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG时注意到rundl132.exe这个文件,此外,某个杀软会不断提示logo_1.exe这个东西。
拿到样本后才知道不是这么简单,各大杀软都对这个病毒做了应急处理。参考各杀软厂商的分析结果做如下简介:
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。截图如下:
