精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒分析☆>>我追踪黑客软件的过程

主题:我追踪黑客软件的过程
发信人: mkwolf()
整理人: mkwolf(1999-11-28 17:20:09), 站内信件
 今天朋友给我mail来一个软件,说是不知道谁发来的,图标到是挺好看,就是不
敢执行(安全意识挺强的)要我看看能不能执行。我收到一看是个小图标,是挺
可爱(是个绿头发的娃娃脸)。我想就执行吧。谁怕谁啊!我也看过不少黑客软
件了,大多是把自己复制到system目录再添加注册表让其自动运行。我执行了这
个程序。和大多数黑客软件一样。没反应!我知道就不是什么好东西了!马上打
开进程管理察看。发现c:\windows\system\Files32.vxd 在进程中。一般情况下
是没有的。立刻终止进程。打开资源管理器删掉这个Files32.vxd 结果删除的时
候报错。说文件占用。在察看进程。这个东西又出来了。怎么回事?程序终止了
啊?!马上又终止进程。删掉了这个文件。这是我想打开注册表看看它有没有动
什么手脚。却出现提示 windows无法找到Files32.vxd 要求定位。我一下子慌了
。想难道和happy99一样合并到系统文件里了?赶快要网友给我找找机子里有没有
Files32.vxd,结果说没这个文件!我重启了计算机。发现启动以后Files32.vxd
依然运行!还自动跳出拨号连接对话框。但是所有的程序能隐藏的自动启动的地
方我都看过了。没有发现啊!我只能再到注册表里看看了。结果终于发现了HKEY
_CLASSES_ROOT\exefile\shell\open\command     默认键值为FILES32.VXD "%1
" %*   居然用这个来打开应用程序!也就是说只要有程序执行。它就会出来!真
太黑了!删除command主键后,一切ok!
 我跟踪了一下它的网络动作发现如下动作202.96.128.110:25    smtp   195.4
0.6.1:6667     irc  202.103.190.46:8000  udp  可能由于我是169它连接不上
irc服务器。它会自动的转换服务器。我记录下了几个地址207.152.95.10   195
.238.2.19  193.55.112.8  195.40.6.1  这几个都是它连接的irc服务器地址,
但是不知道具体做了什么动作。该软件文件名是pretty_park.exe  大小为36.5k
b。用kv300z+和av98和瑞星10.6都不能查出。后来据冠群金辰的资料:这是蠕虫
“pretty park”。但是我觉得它没有自我复制和传染。所以只能算是黑客软件。
这是我的分析。有不对的地方希望大家指出。。我的信箱是michael_wolf@china
.com  或者到我的主页下载有关软件http://wolf.mycool.net

--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.116.147]

[关闭][返回]