Log generated by networkedition use mdecoder 0.67
[root]http://www.gzyoga.com.cn/info/8760-1.htm(瑜珈,瑜珈教程：湿婆神式,瑜珈网址大全|瑜珈教程下载|瑜珈音乐下载|瑜珈学馆|瑜加|瑜珈培训|瑜伽音乐|瑜伽音乐下载|瑜伽|愈伽|瑜伽教程|瑜伽用品—www.gzyoga.com.cn)
    [iframe]http://www.krindus.co.kr/myutil/mod_test/gm/ms0700422.htm
    [virus]http://www.krindus.co.kr/bbs/dbs.exe
    [exp]http://www.krindus.co.kr/myutil/mod_test/gm/Storm22.htm(Exploit.Baofeng.a)
    [exp]http://www.krindus.co.kr/myutil/mod_test/gm/tok.htm(Exploit.XunleiPplayer.a)
    [iframe]http://www.krindus.co.kr/myutil/mod_test/gm/xpcx22.htm.htm
    [exp]http://www.krindus.co.kr/myutil/mod_test/gm/BaiduBar.htm(Exploit.Baidu.a)

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.1; QQDownload 691; .NET CLR 2.0.50727)

[virus]http://www.krindus.co.kr/bbs/dbs.exe是个远控的木马吧(貌似是彩虹桥)
行为:
创建文件 C:\WINDOWS\SYSTEM32\SVOHOST.EXE(本身)
添加自启动 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{21E9C5D3-EBFF-11CD-B6FD-00AA00B4E22A}\StubPath
远程ip: 110.187.115.129四川省达州市 电信