致:“Mopery”——update文件夹中的update.exe初步观察结果
这是个比较BT的木马下载器。运行后直接自网络上下载101371.exe。
101371.exe运行后,在C:\WINDOWS\Temp\文件夹中释放mssoak.exe。
mssoak.exe运行后——“天女散花”般地释放下列文件(夹):
1、C:\Program Files\Common Files\IE-Bar文件夹:
dmbar.dll
dmipn.dll
dmsched.exe
dmshell.dll
iebar.exe
license.txt
uninstall.exe
以上是“千橡互连”的东东。
2、C:\WINDOWS\system\83f73e71文件夹:
73de7.exe
73le7.dll
73ne7.dll
73re7.dll
3、C:\Documents and Settings\All Users\「开始」菜单\程序\启动
IE-Bar(快捷方式)
4、C:\Documents and Settings\baohelin\Templates\8cf5970文件夹:
1.dll
2.exe
3.dll
4.dll
5、C:\Documents and Settings\All Users\Application Data\clubmember\Cast文件夹:
bfrw_3028.inf
bfyswj.inf
dxgdgjc.inf
yxssj_3028.inf
6、C:\Documents and Settings\All Users\Application Data\clubmember\Cast\GGS文件夹:
hmd.idx
7、C:\windows\system32\drivers\fsprot.sys
8、C:\windows\system32\drivers\moprot.sys
大致轮廓如此。
注册表改动N处(眼都看花了)。明天再一一列举吧。
靠!!!!
这是个“流氓木马”合物啊!!!!!!!!
