BitGenius - 2006-12-20 13:17:00
场景:家庭电脑,前些日子因某种原因McAfee防火墙V8,5(以下称为MDF)未开启,另外Guest帐号偶尔开启了两天。但XP的防火墙和卡巴6.0一直在线工作。
现象:(按我发现的过程叙述)
一、 每次开启Tencent QQ时,我的MDF提示有ssX.exe的程序要与外网连接,最早X是4,后来7、5、6都出现过,即ss4.exe,ss5.exe等(见附件1)。
二、 刚开始因为没有注意,我让MDF允许它执行了,但我发现在QQ上线甚至与你别QQ交流后,而QQ的通讯录(簿),仍提示无法连接上网络,好象密码错误。我QQ用的是自动登陆,一般不需输入密码的。在此我即使输入正确的密码,也是如此。如是引起了我的怀疑。
三、 检查MDF的日志,发现有人用TCP的1433和4899, SSH 22,试图连接。当然日志中还有很多其他的,我不大理解(日志见附件2)。
四、 MDF报警时,在Local Setting中的ssX.exe无法删除。但MDF一旦阻止或放行,该ssX..exe即消失。于是我在MDF不作决定时,将他复制了一份。
五、 在任务管理器中,多出了一个helpsvc.exe和spoolsv,以前只有5个svchost的进程,变成了6个,甚至7个。另一个很明显的现象是,原来每个进程都有用户名显示的,现在则没有了,只有系统的idle process是SYSTEM用户名的。
六、 另一个现象是很多,但不是全部文件夹中,自动生成了一个Desktop.ini文件,我查看过一下,好象记录的是关于EXE、DLL之调用接口号的。(示例见附件3)
七、 昨天因在WORD中按错了,打印。。。。项,(其实家里没有打印机,也没装过),提示我要安装打印机,被我终止了。不知这里任务管理器中的spoolsv.exe与此是否相关。
八、 C:盘根目录下的启动,文件IO.SYS, MSDOS.SYS, AUTOEXEC.BAT, CONFIG.SYS长度均为零。
九、 任务管理器中,有一个svchost.exe进程,一般较别的svchost.exe进程占内存大,关灭它,系统无影响,但过不久,又会出来一个svchost.exe, 而且内存站用会随时间自动增长。
十、 Desktop.Ini文件,很可能与此病毒相关。但也可能是其他原因产生的。
十一、 100除速度稍有减慢外,目前没有发现其他的现象。
最新补充:
十二、 298KB的疑似样本文件ss4.exe,邮件发送时显示大小为399KB,(仅有他一个附件),而且无法发出,提示为邮件超大.实际上,我近600K的日志和说明(三个附件),都可发出.最后,用WINRAR压缩后可以发出.
可能原因:
1、 除在开头提到过的外,前几天偶尔访问过国外的一/两个软件下载的网站。先无法找到其网址了,恕不能高知。
如有其他新的现象和进展,请访问我的Blog: http://cxh2048.Donews.com
需样本及日志的高手,请于本人联系:cxh2048@sohu.com
© 2000 - 2025 Rising Corp. Ltd.