[日常]中毒記
話說最近又開始亂抓東西,沒想到就這麼抓到一隻病毒,也中了毒... 幹!
這隻木馬被偽裝成資料夾的圖示,名稱是任意文字然後很長很長,長到把 .exe 的附檔名變得不明顯。
執行之後會IE首頁會被綁架,輸入網址後會被強制轉到 www.3-study.com/redirect.php?url= 上,然後會在任意三個資料夾內各生出一個偽裝程式並且執行他(應該是病毒本身吧),開啟工作管理員強制關閉後會自動重新執行該程式,要刪除檔案則會出現程式執行中的警告。
在登錄檔中亂攪一通後,發現這堆東西:
[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\e70mssrvkfkk\qpsto5gazno3y]
"iuwex40di"="C:\\Program Files\\OtekProgram\\Component\\OtekExcelComponent\\kexcelcomponent.exe"
"vmz5ykghgj9dii"="81C5AA90F3B9D16AFF9516ADBC3657F2"
"ei4ab9dty3oxw7ace"="0"
"pnheny9nfc"="C:\\Program Files\\Messenger\\limsmsgs.exe"
"oas2xm9bp9cmt"="lyzhnwftfv8q8r"
"ijk6koum8ffehx27s10e"="C:\\Program Files\\Common Files\\Microsoft Shared\\DW\\vtdw20.exe"
"cibx3426vrwhqp0c"="40"
"dgrmby0ey1aiw5xn6llu"="360*kasp*nod*eset*vast*nort*rising*anti*"
"wnxoexdcvio"="37wan*1133*keyrun*mybestyouxi*kaokaoni*n95*aiqing*
moggwo*chinaih*globe7*zzss9*778669*exoclick*clicksor*adultadworld"
"fpi41103ty3exwx"="下(*)軟(*)貼(*)game(*)戲(*)AV(*)動(*)18(*)成(*)影(*)BT"
"yweyji5n"="http://freakshare.net/files/0hl2dtgp/08_03.rar.htm(*)(*)http://freakshare.net/files/0hl2dtgp/08_03.rar.htm"
其中,kexcelcomponent.exe、limsmsgs.exe、vtdw20.exe,以上是中毒後自動生出來的程式,強制關閉後會自動再起動,http://freakshare.net/files/0hl2dtgp/08_03.rar.html 抓下來又是一個偽裝成資料夾的執行檔,Google後發現超多網站、論壇的連結都刻意導向 http://freakshare.net/files/0hl2dtgp/08_03.rar.html 這裡,實在是…
不知道手動清完了沒,幾款線上掃毒都說沒事了,心裡還是怕怕的…
所以說,逛網路還是小心為上。
這隻木馬被偽裝成資料夾的圖示,名稱是任意文字然後很長很長,長到把 .exe 的附檔名變得不明顯。
執行之後會IE首頁會被綁架,輸入網址後會被強制轉到 www.3-study.com/redirect.php?url= 上,然後會在任意三個資料夾內各生出一個偽裝程式並且執行他(應該是病毒本身吧),開啟工作管理員強制關閉後會自動重新執行該程式,要刪除檔案則會出現程式執行中的警告。
在登錄檔中亂攪一通後,發現這堆東西:
[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\e70mssrvkfkk\qpsto5gazno3y]
"iuwex40di"="C:\\Program Files\\OtekProgram\\Component\\OtekExcelComponent\\kexcelcomponent.exe"
"vmz5ykghgj9dii"="81C5AA90F3B9D16AFF9516ADBC3657F2"
"ei4ab9dty3oxw7ace"="0"
"pnheny9nfc"="C:\\Program Files\\Messenger\\limsmsgs.exe"
"oas2xm9bp9cmt"="lyzhnwftfv8q8r"
"ijk6koum8ffehx27s10e"="C:\\Program Files\\Common Files\\Microsoft Shared\\DW\\vtdw20.exe"
"cibx3426vrwhqp0c"="40"
"dgrmby0ey1aiw5xn6llu"="360*kasp*nod*eset*vast*nort*rising*anti*"
"wnxoexdcvio"="37wan*1133*keyrun*mybestyouxi*kaokaoni*n95*aiqing*
moggwo*chinaih*globe7*zzss9*778669*exoclick*clicksor*adultadworld"
"fpi41103ty3exwx"="下(*)軟(*)貼(*)game(*)戲(*)AV(*)動(*)18(*)成(*)影(*)BT"
"yweyji5n"="http://freakshare.net/files/0hl2dtgp/08_03.rar.htm(*)(*)http://freakshare.net/files/0hl2dtgp/08_03.rar.htm"
其中,kexcelcomponent.exe、limsmsgs.exe、vtdw20.exe,以上是中毒後自動生出來的程式,強制關閉後會自動再起動,http://freakshare.net/files/0hl2dtgp/08_03.rar.html 抓下來又是一個偽裝成資料夾的執行檔,Google後發現超多網站、論壇的連結都刻意導向 http://freakshare.net/files/0hl2dtgp/08_03.rar.html 這裡,實在是…
不知道手動清完了沒,幾款線上掃毒都說沒事了,心裡還是怕怕的…
所以說,逛網路還是小心為上。
posted by Flymok @ 22:04
2篇回應:
2011年1月20日 上午9:32:00 by
匿名 …
我有跟你一樣的問題, 請問你最後是怎樣解決的?
2011年1月20日 晚上9:08:00 by
Flymok …
印象中是先開工作管理員找可疑程式,然後紀錄並搜尋登錄檔刪除相關資訊,最後再用線上掃毒加本機掃毒做全面檢查這樣。
發表回應
<< 回 空島之門