精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>网络专区>>● Internet>>
浏览技巧
>>目前网络上流传oicq 的0305版本是假的,里面包含木马。

主题:目前网络上流传oicq 的0305版本是假的,里面包含木马。
发信人: sohigh(纸马)
整理人: snowypeng(2002-05-23 09:29:24), 站内信件
目前网络上流传oicq 的0305版本是假的,里面包含木马。

删除,c:\winnt\system32\windell32.dll 文件。 
删除注册表中 run 中的intrenet键(呵呵,还伪装成内部网) 
发现过程:俺机器装了norton internet security 2001中文版。 
norton不时提示windell32.dll文件想连接外部的smtp服务器发送信件, 
第一次俺禁止了,以为没什么事情,后来连续不断地出现这个。 
俺就起疑心了,于是用ultraedit 打开windell32.dll, 
发现有一行说明文字,说什么本文件由 
The Ultimate Packer for eXecutables这个软件压缩而成。 
还提供了主页地址,于是,跑到http://upx.tsx.org下载了那个软件。 
把windell32.dll解压缩,再用ultraedit一看,真相大白。 
看到,c:\progra~1\oicq\dat\oicq2000.cfg,估计是想把俺的OICQ号码以及 
密码信息通过MAIL发送到指定地方。 
“smtp.sina.com.cn [email protected] GOP - GET OICQ PASSWORD KERNEL32” 

[email protected]估计就是这个家伙了,真黑心。 

From: %s <%s> 
To: %s 
Subject: %s[%s] - GOP %s by boomslang 
Date: %s 
X-Mailer: boomslang mail V1.01 
Reply-To: %s 
X-Priority: %d 
Organization: GOP %s Power by boomslang 

v1.2 [%s] - 354 DATA 
RCPT TO: %s 
RCPT TO: <%s> 
MAIL FROM: <%s> 
250 HELO %s 
220 %s 

另外发现如下片段: 
6770585 12612663 1274678 13064072 15389242 1527755 955920 462070 1303776 2017232 1527494 1527345 OICQ用户登录 OICQ 注册向导 Static Edit ComboBox 请再次输入登录密码 \record.dat OICQ: [%s] | | PASSWORD: [%s] 

说明他是另外再弹出窗口,骗取你登录密码,生成 
record.dat文件,最后统一发送到那个mail中。 

本次中木马教训: 
此类ICQ通讯软件的新版本还是去它主页下载比较稳妥。 
利用SMTP发送密码信息,系统进程并不会出现额外的奇怪进程,所以通过norton的针对每个程序的防火墙才发现windell32.dll的问题。

 
 



----
====================
OICQ:1325106
ICQ:16668814
Homepage: http://zmzz.yeah.net (纸马制造:新经济时代的你我他)      

[关闭][返回]