大家注意了,我昨天发现的新木马
大家注意了,如果有人加你为好友,并给你发
如下信息: (2004-11-30 13:29:54) 2541119
美女视频在线,提供大量美女视频下载!
http://www.9lmd.com/cp/,最好不要点这个连接,点了也不要紧,但是你点这个页面上的任何一个视频
连接,都会有一个girls.exe的文件提示你下载,下载后它会显示windows midiea的图标,但是这是一个
可执行文件(扩展名为.exe),大家知道,视频文件不可能是以exe为扩展名,很明显这是一个视频文件
跟一个可执行文件捆绑在一起,当你打开这个文件后会播放一段视频,是两个小美女的,很可爱,但是捆
绑的木马就不知不觉就运行了,然后木马会修改IE主页为http://mms.aogo.net,并且会修改注册表相关
项,这是我昨天中的木马,我防火墙和杀毒软件都没有装,我开始很纳闷这个木马到底从哪里来的,一直
没发现,昨天下午手工清楚以后,然后晚上再看,又有了,但是我清楚木马也没干什么啊,怎么又有了,
到今天上午当我看到昨天下的girls.exe这才明白了,就是这个东西,因为我昨天又给同事看了,所以木
马又运行了,只怪自己太大意了,以下是我搜到的瑞星关于这个木马的描述:
Trojan.Startpage.aogo
破坏方法:Delphi写的木马。采用FSG加壳
运行后将自己复制两份到系统目录下,文件名为ielogon.exe和inetsrv.exe。
修改注册表
HKLM\SOFTWARE\MicroSoft\windows NT\CurrentVersion\Winlogon
Shell : C:\WINNT\System32\inetsrv.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Internet Server : C:\WINNT\System32\inetsrv.exe
这样,每次开机病毒都能启动并修改txt文件的关联方式,将其与ielogon.exe关联上。驻留内存,每隔一
秒修改一次注册表
HKCUSOFTWARE\Microsoft\Internet Explorer\Main
Start Page : http://***mms.aogo.net
这样就将IE主页改成了http://***mms.aogo.net 。
按照上面的这些信息就可以清除了,首先清除木马进程update.exe,然后删除ielogon.exe和inetsrv.exe
再清除注册表相关项,把txt文件关联修改过来就差不多了,好象只有瑞星发现了这个木马,在google里
面只能搜到一条相关信息
问题点数:0、回复次数:3Top
1 楼Kiki53719(寒冰)回复于 2004-12-01 12:47:36 得分 0
我也收到過.Top
2 楼9731boy(叉叉TV - 班头爷)回复于 2004-12-01 12:49:09 得分 0
kao.现在那个frame的漏洞就可以干活了.
微软还没有出补丁呢.想玩的快点.
Top
3 楼lingyun_k(屠夫)回复于 2004-12-01 12:51:35 得分 0
这个木马是利用了frame的漏洞吗Top
