这是在 20CN网络安全小组第一代论坛 的论坛 菜鸟乐园 中的主题 幕后黑手


要查看这个主题,请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=1;t=001110

小强 发表于 :
 
最近我收到一封邮件,邮件的附件里是一个DOC文本文件,文件的主题是
終極動員令:紅色警戒二
來自前線的最新消息
由于我大意,就将它打开看看了。第二天我再次收邮件时,就连续不断地收到邮箱空间不够的邮件。我感到奇怪
就看了看注册表,在注册表的RUN里莫明的出现了sirc32.exe。这下我明白了,我中招了,我便删除了这个文件
(这个文件的图标为网页图标,是隐藏的),同时在注册表的删除了这项。
可我万万没有想到,就在我删除的第二天,还是收到同样提示邮箱空间不够的邮件。我便再次查看了注册表,令
我惊讶的是,原来删除的主键又回来了,而且那个sirc32.exe文件也回答了。(这个文件在c:\windows\system\)
在我彷徨的时候我想到了,它另有幕后主某,由于好奇地看了看注册表,发现在
HKEY_LOCAL_MACHINE\Software\SicCam
里有莫明的软件注册信息。仔细一看键值:(如下)
FB1B "C:\recycled\README.DOC"-----这就是主犯了,就是它创造出木马来地
FB1BA "smtp.china.com"----这是幕后黑手传送邮件的服务器名
FB1BB "soia"
FB!BC "1"
FCO "351"
FC1 "1.88"
FC4 "1"
FC42 "0"
FC421 "15"
FC8 "104"
FC9 "0"
FD1 "sirc32"-------这是生成后的木马文件名
FD10 "yigelu@163.net"------这是幕后黑手的邮箱
FD11 "3"
FD2 "0"
FD3 "9"
FD4 "0"
FD5 "mail.xt.hn.cn"-----这是我的邮件服务器名
FD6 "1"
FD7 "2"

啊,原来如些,这家伙把我的资料全转发到yigelu@163.net的邮箱里有,
(其它现象暂未发现,如果你发现了,请与我联系)
同时我还在C:\recycled目录里发现了它。
这家伙好狡猾,我还一直蒙在鼓里呢,幸好它不是个炸弹,不然,我早就归西了。当你清除了这些垃圾以后,你
的收发邮件软件将会出现找不到sirc32.exe文件。打开QQ和IE也会一样,但在桌面打开IE将没有此提示。
(还有HEKY_CLASSES_ROOT\exefile\shell\open\command
默认 ""C:\recycled\SirC32.exe" "%1" %*"
把这里删了就不会出现找不到SirC32.exe文件的提示,并能恢复那些被控制的程序正常启动)
如果木马连接成功,将会在C:\生成扩展名为DAT和INI的文件,且DAT文件有百多兆大。
在此我敬告各位,发现不明的邮件,你可千万不要打开,特别是它的附件。希望各位从我这里学到教训。
。如果谁想研究的话,
我这里还有复本,但先声明,此木马不是我造,如果带来一切后果,本人不付任何责任!


 






Powered by Infopop Corporation
UBB.classic™ 6.5.0
NetDemon修改版 1.5.0, 20CN网络安全小组 版权所有。