Email:Dansnow@21cn.com OICQ:99118 (仅此一个号码)

特别邀请CCB管理论坛

溯雪论坛  版主:dansnowCCB
http://www.netXeyes.com/


将文章加入您的收藏夹 将本页发给您的朋友 将本页输出到打印机
文章标题: 警惕    搜索nebula所有的帖子 查看nebula的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给nebula留言  nebula的OICQ号码:54533 nebula的IP地址:202.110.140.* 删除此帖子
今天朋友给我mail来一个软件,说是不知道谁发来的,图标到是挺好看,就是不敢执行(安全意识挺强的)要我看看能不能执行。我收到一看是个小图标,是挺可爱(是个娃娃脸)。我想就执行吧。谁怕谁啊!我也看过不少黑客软件了,大多是把自己复制到system目录再添加注册表让其自动运行。我执行了这个程序。和大多数黑客软件一样。没反应!我知道就不是什么好东西了!马上打开进程管理察看。发现c:\windows\system\Files32.vxd 在进程中。一般情况下是没有的。立刻终止进程。打开资源管理器删掉这个Files32.vxd 结果删除的时候报错。说文件占用。在察看进程。这个东西又出来了。怎么回事?程序终止了啊?!马上又终止进程。删掉了这个文件。这是我想打开注册表看看它有没有动什么手脚。却出现提示 windows无法找到Files32.vxd 要求定位。我一下子慌了。想难道和happy99一样合并到系统文件里了?赶快要网友给我找找机子里有没有Files32.vxd,结果说没这个文件!我重启了计算机。发现启动以后Files32.vxd依然运行!还自动跳出拨号连接对话框。但是所有的程序能隐藏的自动启动的地方我都看过了。没有发现啊!我只能再到注册表里看看了。结果终于发现了HKEY_CLASSES_ROOT\exefile\shell\open\command 默认键值为FILES32.VXD "%1" %* 居然用这个来打开应用程序!也就是说只要有程序执行。它就会出来!真太黑了!删除command主键后,一切ok! 我跟踪了一下它的网络动作发现如下动作202.96.128.110:25 smtp 195.40.6.1:6667 irc 202.103.190.46:8000 udp 可能由于我是169它连接不上irc服务器。它会自动的转换服务器。我记录下了几个地址207.152.95.10 195.238.2.19 193.55.112.8 195.40.6.1 这几个都是它连接的irc服务器地址,但是不知道具体做了什么动作。该软件文件名是Pretty_Pack.exe 大小为36.5kb。用kv300y+和av98都不能查出。这是我的分析。有不对的地方希望大家指出。我是连夜写出这篇文章通知大家,请大家到处转贴,提醒大家小心,不过请保持文章的完整性。我的信箱是lin_jin@lin.com.cn

后记:后来冠群金辰公司判断为蠕虫病毒。金山毒霸可以直接清除不留后患。否则接删除file32.vxd会让系统不能运行exe程序。现在很多害人的程序都学会了这样修改注册表。该文登在电脑报1999年第50期网络版上。

——————————
\(^O^)/ 		离线
MSIE 5.0 Windows 98
作者: nebula  时间:2001-01-10.16:59:16 来源:福建
Re:警惕    搜索雨初所有的帖子 查看雨初的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给雨初留言  访问雨初的主页 雨初的OICQ号码:10319063 回复 Re:警惕 雨初的IP地址:61.150.42.* 删除此帖子
好厉害的姐姐或哥哥,帮帮我好吗!!! 离线
MSIE 5.5 Windows 98
作者: 雨初  时间:2001-01-10.17:08:26 来源:陕西

管理选项: 关闭主题 | 从精华区中移出 | 删除主题
本论坛言论纯属发表者个人意见,与 蓝色巴别塔 立场无关
论坛服务由 蓝色巴别塔 提供 技术支持:Yuzi工作室