发信人: mkwolf()
整理人: mkwolf(1999-11-28 17:20:09), 站内信件
|
今天朋友给我mail来一个软件,说是不知道谁发来的,图标到是挺好看,就是不
敢执行(安全意识挺强的)要我看看能不能执行。我收到一看是个小图标,是挺
可爱(是个绿头发的娃娃脸)。我想就执行吧。谁怕谁啊!我也看过不少黑客软
件了,大多是把自己复制到system目录再添加注册表让其自动运行。我执行了这
个程序。和大多数黑客软件一样。没反应!我知道就不是什么好东西了!马上打
开进程管理察看。发现c:\windows\system\Files32.vxd 在进程中。一般情况下
是没有的。立刻终止进程。打开资源管理器删掉这个Files32.vxd 结果删除的时
候报错。说文件占用。在察看进程。这个东西又出来了。怎么回事?程序终止了
啊?!马上又终止进程。删掉了这个文件。这是我想打开注册表看看它有没有动
什么手脚。却出现提示 windows无法找到Files32.vxd 要求定位。我一下子慌了
。想难道和happy99一样合并到系统文件里了?赶快要网友给我找找机子里有没有
Files32.vxd,结果说没这个文件!我重启了计算机。发现启动以后Files32.vxd
依然运行!还自动跳出拨号连接对话框。但是所有的程序能隐藏的自动启动的地
方我都看过了。没有发现啊!我只能再到注册表里看看了。结果终于发现了HKEY
_CLASSES_ROOT\exefile\shell\open\command 默认键值为FILES32.VXD "%1
" %* 居然用这个来打开应用程序!也就是说只要有程序执行。它就会出来!真
太黑了!删除command主键后,一切ok!
我跟踪了一下它的网络动作发现如下动作202.96.128.110:25 smtp 195.4
0.6.1:6667 irc 202.103.190.46:8000 udp 可能由于我是169它连接不上
irc服务器。它会自动的转换服务器。我记录下了几个地址207.152.95.10 195
.238.2.19 193.55.112.8 195.40.6.1 这几个都是它连接的irc服务器地址,
但是不知道具体做了什么动作。该软件文件名是pretty_park.exe 大小为36.5k
b。用kv300z+和av98和瑞星10.6都不能查出。后来据冠群金辰的资料:这是蠕虫
“pretty park”。但是我觉得它没有自我复制和传染。所以只能算是黑客软件。
这是我的分析。有不对的地方希望大家指出。。我的信箱是michael_wolf@china
.com 或者到我的主页下载有关软件http://wolf.mycool.net
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.116.147]
|
|