常在网上飘 哪有不中标
QQ弹窗...中奖了?显然是中招了.....不过做的还挺像那么回事儿的....
这就是经常开任务管理器的好处了 眼生的进程会很显眼
extex118910t.exe xx45[1].exe xx43[1].exe ctfmen.exe szace.exe
那个 ctfmen.exe 就是 ctfmon.exe(Office自动加载的文字服务) 的李鬼
就跟几年前 exp1orer 冒充 explorer 一样 让人乍一看还以为是原装的
这让我想起来我国几个"傍名"品牌
adidas 的效仿者 addnice 阿迪耐斯 adivon 阿迪王
曾经 锐步 的山寨版 特步 --- 不过这个蛮成功 07年还在港交所成功上市
只是作者没把数量控制好 半分钟光景就多一个 哐当哐当的 中奖信息越来越多 这就太假了囧.....
工欲善其事.必先利其器...要剿灭木马群,好的工具是不可或缺的(比如IceSword)
瞧瞧...树大招风吧!每逢这时候 360准玩完儿.....
就连我最推崇的卡巴斯基亦未能幸免.....
这作者还真逗 给你整个这么怀旧的图标....还他妈microsoft....
此时 C盘已无法双击打开了 而且往往会指向auto.exe或autorun.inf
怎么办?可以输入 C:\ 进入 或用 WinRAR 作为跳板
从时间可以看出 这两个文件是刚生成的
这个rav.exe匿藏在C盘回收箱里....偷偷摸摸的调用....极具隐蔽性!
上图代码似乎包含了一个计数页面
回收站里的这些东西在RAR里是删不掉了 还是得借助第三方软件
后来又通过查看创建时间的方法找到了这个冒充 svchost 的 scvhost
还有这个DLL文件....一般木马程序的组件都会选择system32
这个系统文件夹里文件多 就像聪明的野鸭遇到猎人后会一个猛子扎下去 然后混入一旁的家鸭群里找掩护....
这么多...显然是发飙了.....
而且在字体文件夹里也生成了一大堆垃圾 不知道有什么用处.....这个情况从没见到过.....
之后就没再截图,QQ文件夹下有一个主程序,会在QQ启动时以外挂的形式一起启动,调用一些组件,然后就出现开头的一幕...雷人的是,弹窗的同时会发出MSN的信息声...似乎这木马的作者很喜欢显摆,把木马做的这么华丽...而我的QQ一向是无声的....
杀完木马 C盘依旧无法打开 还得查找注册表里木马程序残留的注册项 删除之
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ountPoints2
.
.
.
总结一下:
1.久未中招 便对木马掉以轻心,未使用sandbox....以致挨刀!
2.木马程序在编写思路上进步很大!以QQ外挂的形式启动....弹窗界面与QQ主程序显得很和谐!
3.木马程序的组件隐藏很深很奇特,且具有一定的防杀灭性(屏蔽了360/KAV,无法以常规方式进行删除)