close
95年10月29日手機王首頁也被植入木馬(Lineage),分析了一下,結果如下:
1. 首頁被植入 iframe:
http://www. myemage .com/V20/Daren/images/img.html
2. img.html 是一個 VBScript,它會下載或執行 2.exe
3. 執行之後,系統產生:
[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序 (如svchost.exe)。
C:\WINDOWS\system32\gfile.dll 注入某些執行程序 (如explorer.exe)。
[Drop Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe
[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll
[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}
1. 首頁被植入 iframe:
http://www. myemage .com/V20/Daren/images/img.html
2. img.html 是一個 VBScript,它會下載或執行 2.exe
3. 執行之後,系統產生:
[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序 (如svchost.exe)。
C:\WINDOWS\system32\gfile.dll 注入某些執行程序 (如explorer.exe)。
[Drop Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe
[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll
[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}
全站熱搜
留言列表