最近我收到一封邮件,邮件的附件里是一个DOC文本文件,文件的主题是 終極動員令:紅色警戒二 來自前線的最新消息 由于我大意,就将它打开看看了。第二天我再次收邮件时,就连续不断地收到邮箱空间不够的邮件。我感到奇怪 就看了看注册表,在注册表的RUN里莫明的出现了sirc32.exe。这下我明白了,我中招了,我便删除了这个文件 (这个文件的图标为网页图标,是隐藏的),同时在注册表的删除了这项。 可我万万没有想到,就在我删除的第二天,还是收到同样提示邮箱空间不够的邮件。我便再次查看了注册表,令 我惊讶的是,原来删除的主键又回来了,而且那个sirc32.exe文件也回答了。(这个文件在c:\windows\system\) 在我彷徨的时候我想到了,它另有幕后主某,由于好奇地看了看注册表,发现在 HKEY_LOCAL_MACHINE\Software\SicCam 里有莫明的软件注册信息。仔细一看键值:(如下) FB1B "C:\recycled\README.DOC"-----这就是主犯了,就是它创造出木马来地 FB1BA "smtp.china.com"----这是幕后黑手传送邮件的服务器名 FB1BB "soia" FB!BC "1" FCO "351" FC1 "1.88" FC4 "1" FC42 "0" FC421 "15" FC8 "104" FC9 "0" FD1 "sirc32"-------这是生成后的木马文件名 FD10 "yigelu@163.net"------这是幕后黑手的邮箱 FD11 "3" FD2 "0" FD3 "9" FD4 "0" FD5 "mail.xt.hn.cn"-----这是我的邮件服务器名 FD6 "1" FD7 "2"啊,原来如些,这家伙把我的资料全转发到yigelu@163.net的邮箱里有, (其它现象暂未发现,如果你发现了,请与我联系) 同时我还在C:\recycled目录里发现了它。 这家伙好狡猾,我还一直蒙在鼓里呢,幸好它不是个炸弹,不然,我早就归西了。当你清除了这些垃圾以后,你 的收发邮件软件将会出现找不到sirc32.exe文件。打开QQ和IE也会一样,但在桌面打开IE将没有此提示。 (还有HEKY_CLASSES_ROOT\exefile\shell\open\command 默认 ""C:\recycled\SirC32.exe" "%1" %*" 把这里删了就不会出现找不到SirC32.exe文件的提示,并能恢复那些被控制的程序正常启动) 如果木马连接成功,将会在C:\生成扩展名为DAT和INI的文件,且DAT文件有百多兆大。 在此我敬告各位,发现不明的邮件,你可千万不要打开,特别是它的附件。希望各位从我这里学到教训。 。如果谁想研究的话, 我这里还有复本,但先声明,此木马不是我造,如果带来一切后果,本人不付任何责任!
|