来自UUU9新样本.老手进.我来投毒了.
刚才去UUU9下载魔兽地图时SSM突然叫了一下.然后发现QQ被关闭了.
一看就知道中招了.只是没想到UUU9也会被挂马/.
上了U9..SSM就报警moi.com调用.我以为是U9的什么东西.就信任了.一通行没想到...
C:\Program Files\Internet Explorer\PLUGINS多了个system18.sys.一看就不是好东西.
然后TEMP文件就多了1-5.EXE这5个文件./里面5个文件用11.11最新的瑞星只查到了2个是病毒.还有1个报未知病毒.查杀了.
system18.sys报QQPASS.
system18.sys注入很多进程.用很多工具都查看不到.包括冰刃.最后在SRENG2的日志里看到.注入很多地方.也设置了开机启动.其他工具没有发现.
还有.一连接上网/就不停下载1-5.EXE去运行/.估计木马下载器还在运行//
不过应该不是system18.sys.目前还找不到下载器.
希望高手出来帮忙研究一下.
样本在我的空间.http://free.ys168.com/?greysign
欢迎下载.
希望有能联系UUU9的人去跟管理员说一下.还我们一个干净的魔兽地图下载站.
