作者junorn (威廉华勒斯)
看板AntiVirus
标题Re: [中毒] 小红伞叫个不停
时间Fri Sep 5 00:18:29 2008
既然是中华吸血鬼的话,那就将特徵贴上来供参考
http://www.kafan.cn/shadu/news/20080626888.html
1.创建一个互斥量:中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.释放如下副本或文件:
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件,如果有将其改名
之後向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹,在该文件夹内写入
GHOSTBAK.exe(病毒文件)
(8) arp欺骗功能
获取本机IP地址 然後把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域
网内机器进行arp欺骗
(9) 局域网弱密码猜解传播
以administrator为用户名,对局域网中其他机器进行密码猜解。如果成功则复制到对方
机器的共享的C,D,E,F盘中,以hackshen.exe
(13)(此方法十分新颖)
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候,会首先调用同文件夹下的
wsock32.dll,也就是病毒释放的文件。此时会从下载
http://www.*******.cn/server.exe(病毒最新版本)并执行!!!
(15) 遍历非系统分区的html,aspx,htm等文件 写入iframe代码
以上黄色标起来的是重点
所以你那边四台会都出问题应该是区网攻击或arp攻击
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.132.171.86
1F:推 ases0118:这实在是太超过了 囧~~~ (好难呀 09/05 00:34
2F:推 ainamk:有没有具体一点的防御和解毒法@@" 觉得开学後会流行… 09/05 06:17
3F:→ ainamk:北京奥运刚过 总觉得会有人带奇怪的病毒回学校orz 09/05 06:19
4F:→ junorn:防御法?不要和他人共用一条线路,不要和他人分享档案。 09/05 09:23
5F:→ junorn:不要用他人的随身碟。 09/05 09:23
6F:→ junorn:解毒法?..... format c: /u 09/05 09:24
7F:推 abehitomi:j大的最後解毒 真的是药到病除! 09/05 16:13
8F:→ junorn:命也跟着一起除了XD 09/05 16:33
9F:推 ases0118:研究生而言应该是这样- -+ 09/05 22:48