菜鸟第一次访问kaka

今天日常上机，习惯，因为装杀毒的慢（特别是RISING，正版更慢），看一下进程，发现多了个lsass.exe进程就觉得不对劲，立刻msconfig发现自启动项有C:\windows\lsass.exe 那种事情是不可能的正常应该在C:\windows\syste32\lsass.exe 下，于是我用进程管理器KILL，诶？KILL不了？妈的，用icesword破坏掉他进程，把这个文件copy出来后删除，为了确认是什么毒，偶用记事本打开，在某行发现如下的东西 


                                                                                                                                        5@ p@ ?@  @           

  \  "  rfwmain Software\Microsoft\Windows\CurrentVersion\Run  Syetwlynus  %d%d%d  /  http:// Content-Type: application/x-www-form-urlencoded POST    HTTP/1.0    MSDN SurfBear  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)  1  cn  zmideda{|&|n  InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft  li`}i&i{x  &j}iafa&kge  RegisterServiceProcess  KERNEL32.DLL    emerqb_e_eva_lh %s%s%s%s%s%s    name=  &url=  &intro= GxWindowClassD3d    kav32.exe  kvsrvui.exe symantec.exe    kvxp.kxp    pwf.exe system.exe  iparmor.exe kvmonxp.kxp kavsvc.exe  kav.exe rfwsrv.exe  rfwmain.exe ravtimer.exe    ravstub.exe adam.exe    ravmond.exe ravmon.exe  %s  励叵凉径厘傣   


根据特征字符InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft
  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)

判断该文件为 魔兽世界木马，偶不玩，没事~哈哈~
发给大家玩玩。
奶的。不给传附件，，，，算你狠
http://www.9iz.cn/lsass.rar这里下载

楼上的说的应该是加壳吧。。。。加壳了这些应该还是存在的。。

刚上来。baohelin@yahoo.com.cn这位发的是个远程控制的后门吧？
bin59420@yahoo.com.cn 收到3个样本。等我

顺便说明：Lsass.exe在C:\windows\system32
在其他目录就是马，您不会连这点都不懂?

更要说明威金这玩意属于感染型的，请问您想让我怎么杀？写个清理EXE的吗？ 还是准备一个一个清？恩？

以为我有那么笨？机子里大把程序，染上了岂不亏大？在虚拟机上运行去。

先说明，如果你发威金我没办法达到预期效果保证所有文件全部恢复原样，解释完毕。

算了。。。有什么样本著名后发到nnylyj@gmail.com
实在受不了。。。想骂我的加QQ吧：107473
————————————————————
呦 还有这么一说呢？
我一直以为它就是病毒呢 我一直想把他从系统中删了 可是就是不行 今天明白了哈哈
如获至宝！！谢谢“高手”！
————————————————————
不知道你的话里有什么含义，我也不说那么多了。如果你系统的lsass.exe不在/win/system32目录下的话 我怀疑你的不是微软出的windows

win代表winnt或windows 同志。。windows 是XP或2003系统 NT是2000/NT系统。。