1   1  /  1  页   跳转

[原创] 关于4074.exe

关于4074.exe

样本来自http://bbs.ikaka.com/showtopic-8520928.aspx

运行后在%system32%目录下释放下列文件:
“随机13位小写英文字母”.dll(本次为rtkgseumhwbkj.dll)以及serverskber.ini。
同时开启计算器(calc.exe,不知何意),通过80 端口访问222.189.228.138(江苏,扬州电信)
rtkgseumhwbkj.dll插入explorer.exe进程。
用户点击桌面“我的电脑”时,explorer.exe访问58.220.235.180(江苏南京电信)。将IE主页篡改为 http://www.idv2200.cn/
serverskber.ini的内容如下:
——————————————————
[settings]
ver=070401
id=4074
username=wzw
rnd=724
info=360大哥,我不是盗号程序,也不是机器狗,是最普通的广告程序啊,烦请兄弟高抬贵手!
passdomain=picasa.name8922.cn;google.com;google.cn;baidu.com;e78.com;about:blank;www.cngood666.cn;www.idv2200.cn;www.789gov.cn;www.name23456.cn;www.288tm.cn;www.288central.cn;
linkto=http://www.baidu.com
search=http://www.idv2200.cn/search.html
search_g=http://www.web353.cn/googlesearch.html
top=http://picasa.name8922.cn/gg.htm,40,SOFTWARE\Google\Picasa,unshow
startpage=http://www.idv2200.cn/
upday=2008-7-6
——————————————————
SRENG日志可见:
浏览器加载项
[]
  {21FD0BA3-67ED-44D7-B475-B85CBDD5CBF0} <C:\WINDOWS\system32\rtkgseumhwbkj.dll, Nicrosoft Inc.>

用IceSword容易搞掂这个垃圾:
强制删除其释放的文件及添加的浏览器加载项。如何确定那个“随机13小写英文位字母”.dll?根据中招日期,搜索%system32%目录。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-07-06 14:57:14
分享到:
gototop
 

回复:关于4074.exe

猫叔的沙发
gototop
 

回复:关于4074.exe

猫叔的帖子要顶
那个serverskber.ini......要汗
gototop
 

回复:关于4074.exe

我不小新安装了4074.exe,结果IE主页被篡改了,怎么删都删不掉,请问斑竹IceSwordruhe  使用啊,能否详细讲解一下,不甚感激!
gototop
 

回复: 关于4074.exe

info=360大哥,我不是盗号程序,也不是机器狗,是最普通的广告程序啊,烦请兄弟高抬贵手!

好象还挺委屈的……
不经计算机用户同意篡改主页这种强奸xxx的做法,人人得而诛之……


打酱油的……
gototop
 

回复: 关于4074.exe

xxx在地再踏那个一脚
广告还无辜
ICESWORD教程 http://hi.baidu.com/roxiel/blog/item/7bb5406df3f248ff4316940e.html
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT