关于4074.exe
样本来自
http://bbs.ikaka.com/showtopic-8520928.aspx运行后在%system32%目录下释放下列文件:
“随机13位小写英文字母”.dll(本次为rtkgseumhwbkj.dll)以及serverskber.ini。
同时开启计算器(calc.exe,不知何意),通过80 端口访问222.189.228.138(江苏,扬州电信)
rtkgseumhwbkj.dll插入explorer.exe进程。
用户点击桌面“我的电脑”时,explorer.exe访问58.220.235.180(江苏南京电信)。将IE主页篡改为
http://www.idv2200.cn/。
serverskber.ini的内容如下:
——————————————————
[settings]
ver=070401
id=4074
username=wzw
rnd=724
info=360大哥,我不是盗号程序,也不是机器狗,是最普通的广告程序啊,烦请兄弟高抬贵手!
passdomain=picasa.name8922.cn;google.com;google.cn;baidu.com;e78.com;about:blank;
www.cngood666.cn;
www.idv2200.cn;
www.789gov.cn;
www.name23456.cn;
www.288tm.cn;
www.288central.cn;
linkto=http://www.baidu.com
search=http://www.idv2200.cn/search.html
search_g=http://www.web353.cn/googlesearch.html
top=http://picasa.name8922.cn/gg.htm,40,SOFTWARE\Google\Picasa,unshow
startpage=http://www.idv2200.cn/
upday=2008-7-6
——————————————————
SRENG日志可见:
浏览器加载项
[]
{21FD0BA3-67ED-44D7-B475-B85CBDD5CBF0} <C:\WINDOWS\system32\rtkgseumhwbkj.dll, Nicrosoft Inc.>
用IceSword容易搞掂这个垃圾:
强制删除其释放的文件及添加的浏览器加载项。如何确定那个“随机13小写英文位字母”.dll?根据中招日期,搜索%system32%目录。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)