可能是劫持网络驱动的木马
最近网络貌似不太平,经常下载东西被重定向到一个“莫名其妙”的马,此马体积大概在36k左右,可是奇怪的是不论 Symantec 还是其他各种此类检查程序对此马均无反应,而且在google、baidu上搜不到任何与我遇到的症状相符合的信息。
最近在国内一些比较知名的下载站下载文件,多数会被重定向到一个只有36k左右的压缩包( rar),里面只有一个文件:
setup.exe,大小36k(39680字节),CRC32:8D503C49
此文件被用 UPX 处理过,是一个木马程序,运行之会有明显的挂马动作。
最早的时候,这个36k马会在 C:\Windows\ime\ 目录下放一个 mswsocker.dll 类似文件名的文件,现在好像不放了;
后来有个版本会注入到系统某个进程(可能是IE),向 C:\Program Files\Common\ 的它自己创建的一个 Files\ 子目录下执行列表硬盘文件的命令,
就是 cmd /k dir *.* > FileList.txt 之类的命令,当命令执行的时候可想而知硬盘会狂转;
现在最近就是不知道是怎么回事,国内很多网站上的下载都被导向上述那个36k包,里面一个36k的setup.exe,在我的机器上发生这症状的站点有(仅部分):
www.greendown.cnwww.xdowns.comwww.comicer.com/stronghorse/software/index.htm (一个个人站,内容不错,应该算是很有名气的一个个人站)
www.xiazaiba.com (此站上情况有点不一样,凡是直接从页面连到其他 http 位置的rar全部中招,但是从 js 返回地址的不会有问题)……
从上面蓝色那行描述的网站情况看,像是在我本机上被注入了什么东西,把从页面拿回来的 http 连接全部给重定向了,我换了好几个不同内核的浏览器试过都一样(比如IE8,Chrome),因此可以判断如果是中招的话肯定是在驱动或者系统服务那层上中招了,但是如果是这样的话不大可能在 google 里根本搜不到一点相关信息或者描述。
我现在在四川成都,用的是电信的 ADSL,成都电信这边的什么DNS劫持HTTP劫持等流氓行径素来是恶名昭著臭名在外的,但是就算是电信那边使的绊子也不大可能在网络上没一点信息吧……
看来只有等空了找个新的裸机来慢慢测试了。。。
那个被重定向弄回来的 rar 我上传到附件里了,哪位有兴趣的可以看看。。。
