说实在的。。。。压根就没想到自己也会有这一天啊:houlong
今天中午的时候,一个网友发给我一个自由门,说是最新版本的,我就运行了下试试,因为认识了很久的,我知道他虽然不玩病毒,但是上网的习惯还是很好地,所以我就毫不犹豫的运行了,期间SSM所有提示全部允许过去。。。也没仔细看
后来突然断电,再启动后就发现SSM提示SVCHOST要读取底层键盘驱动,也没怎么在意,以为是断电导致SSM规则数据丢失了
结果到傍晚。。。。那家伙传来消息说那网站被挂了。。。还给了我一篇分析
引用:
这个木马是附在正版程序后面,运行时用户看上去和正版程序一样。但是最后会改动一些系统文件,生成并运行C:\WINDOWS\system32\ wuauclt1.dll 。这个程序会记录所有键盘输入到C:\WINDOWS\system32\kb941644.log。最后会把记录的信息传出去。
我一查,果然SYSTEM32下有这两个文件。。。。试着删除的时候问题来了,wuauclt1.dll插在SVCHOST里,用UNLOCKER卸载出错,任务栏锁死,用冰刃拔是拔出来了,但是任务栏一样被锁死,不过文件已经可以删除了,重启,什么事都没了,但是却发现多了一个SVCHOST。。。。看后面的参数,貌似都是正常的。。。也不知道哪一个是被病毒开的。。。
至于那分析里说改动系统文件,我查了下,sigverif貌似也没查出什么结果来。。。。
最恶心的就是我在SRENG里看不出那个wuauclt1.dll是如何插进SVCHOST里的。。。。难道是修改了SVCHOST?
样本于此
http://bbs.janmeng.com/thread-781223-1-1.html
哪位感兴趣的来试试吧
这件事情告诉我们,裸奔不可取啊。。。。。。。另外,这次明显是我安逸生活过久了,不然要换以前看见SVCHOST读取底层键盘驱动我早怀疑了。。。。。。哎,做人不能放松啊
[
本帖最后由 eyeego 于 2008-7-21 19:26 编辑 ]
