发信人: sohigh(纸马)
整理人: snowypeng(2002-05-23 09:29:24), 站内信件
|
目前网络上流传oicq 的0305版本是假的,里面包含木马。
删除,c:\winnt\system32\windell32.dll 文件。
删除注册表中 run 中的intrenet键(呵呵,还伪装成内部网)
发现过程:俺机器装了norton internet security 2001中文版。
norton不时提示windell32.dll文件想连接外部的smtp服务器发送信件,
第一次俺禁止了,以为没什么事情,后来连续不断地出现这个。
俺就起疑心了,于是用ultraedit 打开windell32.dll,
发现有一行说明文字,说什么本文件由
The Ultimate Packer for eXecutables这个软件压缩而成。
还提供了主页地址,于是,跑到http://upx.tsx.org下载了那个软件。
把windell32.dll解压缩,再用ultraedit一看,真相大白。
看到,c:\progra~1\oicq\dat\oicq2000.cfg,估计是想把俺的OICQ号码以及
密码信息通过MAIL发送到指定地方。
“smtp.sina.com.cn [email protected] GOP - GET OICQ PASSWORD KERNEL32”
[email protected]估计就是这个家伙了,真黑心。
From: %s <%s>
To: %s
Subject: %s[%s] - GOP %s by boomslang
Date: %s
X-Mailer: boomslang mail V1.01
Reply-To: %s
X-Priority: %d
Organization: GOP %s Power by boomslang
v1.2 [%s] - 354 DATA
RCPT TO: %s
RCPT TO: <%s>
MAIL FROM: <%s>
250 HELO %s
220 %s
另外发现如下片段:
6770585 12612663 1274678 13064072 15389242 1527755 955920 462070 1303776 2017232 1527494 1527345 OICQ用户登录 OICQ 注册向导 Static Edit ComboBox 请再次输入登录密码 \record.dat OICQ: [%s] | | PASSWORD: [%s]
说明他是另外再弹出窗口,骗取你登录密码,生成
record.dat文件,最后统一发送到那个mail中。
本次中木马教训:
此类ICQ通讯软件的新版本还是去它主页下载比较稳妥。
利用SMTP发送密码信息,系统进程并不会出现额外的奇怪进程,所以通过norton的针对每个程序的防火墙才发现windell32.dll的问题。
---- ====================
OICQ:1325106
ICQ:16668814
Homepage: http://zmzz.yeah.net (纸马制造:新经济时代的你我他) |
|