脑袋,是用来照明的.
77月/090

常在网上飘 哪有不中标

Trojan_horse_01 
QQ弹窗...中奖了?显然是中招了.....不过做的还挺像那么回事儿的....
这就是经常开任务管理器的好处了  眼生的进程会很显眼
extex118910t.exe  xx45[1].exe  xx43[1].exe  ctfmen.exe  szace.exe
那个 ctfmen.exe 就是 ctfmon.exe(Office自动加载的文字服务) 的李鬼
就跟几年前 exp1orer 冒充 explorer 一样 让人乍一看还以为是原装的

这让我想起来我国几个"傍名"品牌
adidas 的效仿者 addnice 阿迪耐斯 adivon 阿迪王
曾经 锐步 的山寨版 特步 --- 不过这个蛮成功 07年还在港交所成功上市

Trojan_horse_02 

只是作者没把数量控制好 半分钟光景就多一个 哐当哐当的 中奖信息越来越多 这就太假了囧.....

工欲善其事.必先利其器...要剿灭木马群,好的工具是不可或缺的(比如IceSword)

Trojan_horse_03 
瞧瞧...树大招风吧!每逢这时候 360准玩完儿.....
就连我最推崇的卡巴斯基亦未能幸免.....

Trojan_horse_04
这作者还真逗 给你整个这么怀旧的图标....还他妈microsoft....
此时 C盘已无法双击打开了 而且往往会指向auto.exe或autorun.inf
怎么办?可以输入 C:\ 进入  或用 WinRAR 作为跳板

Trojan_horse_05

 

Trojan_horse_06

从时间可以看出 这两个文件是刚生成的

Trojan_horse_07

Trojan_horse_08

 
这个rav.exe匿藏在C盘回收箱里....偷偷摸摸的调用....极具隐蔽性!

Trojan_horse_09

上图代码似乎包含了一个计数页面

 

Trojan_horse_09_01

回收站里的这些东西在RAR里是删不掉了 还是得借助第三方软件

Trojan_horse_09_02

后来又通过查看创建时间的方法找到了这个冒充 svchost 的 scvhost

Trojan_horse_09_03

还有这个DLL文件....一般木马程序的组件都会选择system32
这个系统文件夹里文件多 就像聪明的野鸭遇到猎人后会一个猛子扎下去 然后混入一旁的家鸭群里找掩护....

Trojan_horse_09_04

这么多...显然是发飙了.....

Trojan_horse_09_05

而且在字体文件夹里也生成了一大堆垃圾 不知道有什么用处.....这个情况从没见到过.....
之后就没再截图,QQ文件夹下有一个主程序,会在QQ启动时以外挂的形式一起启动,调用一些组件,然后就出现开头的一幕...雷人的是,弹窗的同时会发出MSN的信息声...似乎这木马的作者很喜欢显摆,把木马做的这么华丽...而我的QQ一向是无声的....
杀完木马 C盘依旧无法打开 还得查找注册表里木马程序残留的注册项 删除之
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ountPoints2
.
.
.
总结一下:
1.久未中招 便对木马掉以轻心,未使用sandbox....以致挨刀!
2.木马程序在编写思路上进步很大!以QQ外挂的形式启动....弹窗界面与QQ主程序显得很和谐!
3.木马程序的组件隐藏很深很奇特,且具有一定的防杀灭性(屏蔽了360/KAV,无法以常规方式进行删除)

评论 (0) 引用 (0)

还没有评论.


发表评论


:y21 :y20 :y19 :y18 :y17 :y16 :y15 :y14 :y13 :y12 :y11 :y10 :y09 :y08 :y07 :y06 :y05 :y04 :y03 :y02 :y01 :wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :51 :049 :048 :047 :045 :044 :043 :041 :040 :038 :036 :035 :033 :030 :028 :027 :022 :021 :020 :019 :018 :015 :014 :012 :011 :010 :008 :004 :002 :-| :-x :-o :-P :-D :-? :) :( :!: :!990 :!99 :!98 :!97 :!96 :!95 :!94 :!93 :!92 :!91 :!90 :!89 :!88 :!87 :!86 :!85 :!84 :!83 :!82 :!81 :!80 :!79 :!78 :!77 :!76 :!75 :!74 :!73 :!72 :!71 :!70 :!69 :!68 :!67 :!66 :!65 :!64 :!63 :!62 :!61 :!60 :!59 :!58 :!57 :!56 :!55 :!54 :!53 :!52 8-O 8)

还没有引用.

Free Web Hosting