陶瓷企业！请检查贵司网站是否被利用投放病毒

行为分析：

1，首先释放随机的8位数字和字母混合的程序到到系统目录，如C:\WINDOWS\system32\9CB9E46B.exe，同时将自己注册为服务实现开机自启动

2，然后9CB9E46B.exe释放同样名称时随即的dll，C:\WINDOWS\system32\D766BBA1.DLL

3，之后将dll注入到系统程序winlogon.exe

4，之后注入winlogon的D766BBA1.DLL删除系统的错误报告服务，避免系统弹出错误报告。

5，之后注入桌面explorer.exe，开始准备下载其它的程序，首先PING 本机

6，之后访问222.73.26.9下载一个随即数命名的exe, 如C:\WINDOWS\system32\k119409457613.exe,n1194149047k.exe

这个程序的作用似乎只是再次启动9CB9E46B.exe，没怎么明白作者的意思，然后生成bat删除自己。

然后就是真真的访问网络下载木马群了

访问的IP有：

222.73.247.201 上海市 电信

222.73.247.131 上海市 电信

222.73.26.9 上海市电信IDC机房(外高桥)

222.73.247.202 上海市电信ADSL

222.73.254.67 上海市真如IDC机房

220.189.255.29 浙江省嘉兴市电信

http://nx.51ylb.cn/soft/soft/e47e57844ef30ab4.exe

ping了下nx.51ylb.cn，是222.73.26.9的玉米

几乎全在一个网段，能拥有这么多空间来下载exe，只能说好强！！！

截一张图

7，等其网络访问完毕，system32目录已是牛马成群，

之后就是一一运行他们了。

而这些程序会释放很多程序到c:\windows目录，C:\Documents and Settings\daokers\Local Settings\Temp目录和C:\Program Files\intest.exe，并添加启动到

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

本文分页： [ 1 ]  [ 2 ]  [ 3 ]   [ 4 ]  [ 5 ]  [ 6 ]  [ 7 ] 

【链接】 陶瓷企业 ,faenza ,

本文章内容仅供交流和参考，佛山陶瓷网[ www.FsTaoci.Com ]搜集整理行业相关公开资讯信息和知识，我们对文章内容真实、完整和公正性不能作任何的承诺和保证。谢谢支持。