小心题为:好久不见啦! 的邮件传播Trojan-PSW.Win32.Magania

小心题为:好久不见啦! 的邮件传播Trojan-PSW.Win32.Magania

endurer 原创
2008-05-23 第1


主 题: 好久不见啦!
正 文: 哈囉妳最近好ㄇ??好想妳唷~我最好ㄌ好朋友唷~!!>0<......+-+......先掰啊~!!......要回信唷!!!
附 件: 禬苂~~~苂苂!.zip

文件说明符 : D:/test/禬苂~~~苂苂!.zip
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-19 21:56:29
修改时间 : 2008-5-19 21:56:35
大小 : 225944 字节 220.664 KB
MD5 : d2d779d3895ee9e11c36ab2ebdeb8bf5
SHA1: 2EE27523D48585D31245C529E53D40DC9C08F14C
CRC32: 43347d94

内含文件:禬苂~~~苂苂!.exe,其图标与TXT文件图标相似

禬苂~~~苂苂!.exe - 自解压格式 RAR 压缩文件, 解包大小为 222,774 字节
; 下列註解包含自解檔指令碼命令

Setup=30.sfx.exe
TempMode
Silent=1
Overwrite=1


文件说明符 : D:/test/禬苂~~~苂苂!.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-19 21:58:35
修改时间 : 2008-5-13 20:13:18
大小 : 286081 字节 279.385 KB
MD5 : 78e334a414f6e6da0fbd68d4ce9f5044
SHA1: 5E45FE6C418CE466651CA81B7C0ACBF3A0238FC3
CRC32: b17802b2

内含2个文件:

1)鄰居阿姨.txt
文件说明符 : d:/test/鄰居阿姨.txt
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-19 22:0:13
修改时间 : 2008-4-29 11:21:14
大小 : 8959 字节 8.767 KB
MD5 : b8c2e8e1f6b9b561086db9c73704c8a0
SHA1: C842CB4CCF50843268642EE12224A794A6F83C40
CRC32: e4e63662

2)30.sfx.exe 是个自解压文件
文件说明符 : d:/test/30.sfx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-19 22:0:13
修改时间 : 2008-5-13 20:12:58
大小 : 213815 字节 208.823 KB
MD5 : f55d1b7d5eddf518a6470b3e274dadb5
SHA1: 246A7433640DA305522B696CB4F7310087EC2F1D
CRC32: 7f8ba00e


30.sfx.exe - 自解压格式 RAR 压缩文件, 解包大小为 116,060 字节
; 下列註解包含自解檔指令碼命令

Setup=30.exe
Presetup=鄰居阿姨.txt
Silent=1
Overwrite=1

释放文件:30.exe

文件说明符 : D:/test/30.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-19 22:2:6
修改时间 : 2008-5-16 20:5:40
大小 : 116060 字节 113.348 KB
MD5 : ca1f1931ca2beeccc1e539756f20ea0f
SHA1: B9D43598F2076C5C652C00120901F949C48E5311
CRC32: 02383e6d

卡巴斯基报为:Trojan-PSW.Win32.Magania.qej[KLAB-5050294],瑞星报为 Packer.Win32.Mian007.a

<!-- CoreMail Version 3.1_dev Copyright (c) 2002-2008 www.mailtech.cn -->
阅读更多

中毒啦,svrhost.exe,大家小心

09-11

ArLi 2003 原创rnrn99年之后二年的时间都在搞安全,没想今天是踩到大便了,居然让我的电脑被人种上木马了。。rnrn此程序已经确认为一个木马或者说是一个钩子程序,进程名叫rnrnsvrhost.exe 注意不是 svchost.exernrn杀毒软件认不了,我在国外各大站点没有找到消息(不是金山所谓的蓝色代码),国内瑞星论坛有人谈到(还不少人中了)但没有见到任何官方声明。rnrn经过一小时的奋战,终于脱壳完成,该程序会自动监视shdocvw.dll 有新WEB 地址时会自动弹出一个新窗口指向一个地址表(注1)rnrn在启动时会自动连接:61.129.70.81:80 并企图在本地使用UDP 进行传播rnrn同时会生成 host.xml 里面包含的内容就是一个地址表,内容附在文尾(也有一个可能是此程序不是那站长所作,可能是国外一个公用病毒,由host.xml 支配)。rnrn此程序启动在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下,键名叫svrhost 值是 system32 目录的 svrhost.exernrn解决方法,删除exe 文件并删除run 中的该键rnrn我正在找是哪个程序让我中毒的,可实在想不起来昨天我运行过什么程序。。。TMD,中过的朋友一起上,扁死它:rnrn该域主来自湖北rn该机有二个FTP 端口分别是213/2133rn服务器是Windows2000 Server 中文版 sp3+rn设有3389 远程终端控制rn一个80 端口,不允许空主机头值rn其它有待确认..rnrn此文已经发往瑞星和金山公司rnrn附上host.xml 内容如下:rnrnrnrnrnrnrnrn<.com type="0">rn 41000rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrn<.net type="0">rn 42000rn http://www.tv888.net/default.asp?comefrom=gprnrn<1000h.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrn<1vod.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrn<88vod.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrn<99av.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrn<9fh.net type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn<92dvd.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrn<2637.com type="3">rn http://www.88dvd.com/default.asp?comefrom=adpop1rnrnrnrn http://www.88dvd.com/default.asp?comefrom=adpop1rn

没有更多推荐了,返回首页