发信人: mkwolf()
整理人: mkwolf(1999-11-27 23:07:13), 站内信件
|
今天朋友给我mail来一个软件,说是不知道谁发来的,图标到是挺好看,就是不 敢执行(安全意识挺强的)要我看看能不能执行。我收到一看是个小图标,是挺 可爱(是个绿头发的娃娃脸)。我想就执行吧。谁怕谁啊!我也看过不少黑客软 件了,大多是把自己复制到system目录再添加注册表让其自动运行。我执行了这 个程序。和大多数黑客软件一样。没反应!我知道就不是什么好东西了!马上打 开进程管理察看。发现c:\windows\system\Files32.vxd 在进程中。一般情况下 是没有的。立刻终止进程。打开资源管理器删掉这个Files32.vxd 结果删除的时 候报错。说文件占用。在察看进程。这个东西又出来了。怎么回事?程序终止了 啊?!马上又终止进程。删掉了这个文件。这是我想打开注册表看看它有没有动 什么手脚。却出现提示 windows无法找到Files32.vxd 要求定位。我一下子慌了 。想难道和happy99一样合并到系统文件里了?赶快要网友给我找找机子里有没有 Files32.vxd,结果说没这个文件!我重启了计算机。发现启动以后Files32.vxd 依然运行!还自动跳出拨号连接对话框。但是所有的程序能隐藏的自动启动的地 方我都看过了。没有发现啊!我只能再到注册表里看看了。结果终于发现了HKEY _CLASSES_ROOT\exefile\shell\open\command 默认键值为FILES32.VXD "%1 " %* 居然用这个来打开应用程序!也就是说只要有程序执行。它就会出来!真 太黑了!删除command主键后,一切ok!
我跟踪了一下它的网络动作发现如下动作202.96.128.110:25 smtp 195.4 0.6.1:6667 irc 202.103.190.46:8000 udp 可能由于我是169它连接不上 irc服务器。它会自动的转换服务器。我记录下了几个地址207.152.95.10 195 .238.2.19 193.55.112.8 195.40.6.1 这几个都是它连接的irc服务器地址, 但是不知道具体做了什么动作。该软件文件名是pretty_park.exe 大小为36.5k b。用kv300z+和av98和瑞星10.6都不能查出。后来据冠群金辰的资料:这是蠕虫 “pretty park”。但是我觉得它没有自我复制和传染。所以只能算是黑客软件。 这是我的分析。有不对的地方希望大家指出。。我的信箱是michael_wolf@china .com 或者到我的主页下载有关软件http://wolf.mycool.net
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.116.147]
|
|