陶瓷企业！请检查贵司网站是否被利用投放病毒

    行为分析：

    1，首先释放随机的8位数字和字母混合的程序到到系统目录，如C:\WINDOWS\system32\9CB9E46B.exe，同时将自己注册为服务实现开机自启动

    2，然后9CB9E46B.exe释放同样名称时随即的dll，C:\WINDOWS\system32\D766BBA1.DLL

    3，之后将dll注入到系统程序winlogon.exe

    4，之后注入winlogon的D766BBA1.DLL删除系统的错误报告服务，避免系统弹出错误报告。

    5，之后注入桌面explorer.exe，开始准备下载其它的程序，首先PING 本机

    6，之后访问222.73.26.9下载一个随即数命名的exe, 如C:\WINDOWS\system32\k119409457613.exe,n1194149047k.exe

    这个程序的作用似乎只是再次启动9CB9E46B.exe，没怎么明白作者的意思，然后生成bat删除自己。

    然后就是真真的访问网络下载木马群了

    访问的IP有：

    222.73.247.201 上海市 电信

    222.73.247.131 上海市 电信

    222.73.26.9 上海市电信IDC机房(外高桥)

    222.73.247.202 上海市电信ADSL

    222.73.254.67 上海市真如IDC机房

    220.189.255.29 浙江省嘉兴市电信

    http://nx.51ylb.cn/soft/soft/e47e57844ef30ab4.exe

    ping了下nx.51ylb.cn，是222.73.26.9的玉米

    几乎全在一个网段，能拥有这么多空间来下载exe，只能说好强！！！

    截一张图

    7，等其网络访问完毕，system32目录已是牛马成群，

    之后就是一一运行他们了。

    而这些程序会释放很多程序到c:\windows目录，C:\Documents and Settings\daokers\Local Settings\Temp目录和C:\Program Files\intest.exe，并添加启动到

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    本文分页： [ 1 ]  [ 2 ]  [ 3 ]   [ 4 ]  [ 5 ]  [ 6 ]  [ 7 ]