Re: [中毒] 小紅傘叫個不停
既然是中華吸血鬼的話,那就將特徵貼上來供參考
http://www.kafan.cn/shadu/news/20080626888.html
1.創建一個互斥量:中華吸血鬼2.2
2.刪除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.釋放如下副本或文件:
%systemroot%\Tasks\綠化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
(3) U盤傳播功能
檢測可移動存儲中是否有autorun.inf文件,如果有將其改名
之後向裡面寫入autorun.inf
創建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夾,在該文件夾內寫入
GHOSTBAK.exe(病毒文件)
(8) arp欺騙功能
獲取本機IP地址 然後把所在同網段內的.2~.255的機器作為欺騙對象
由系統目錄下的arps.com執行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 對局域
網內機器進行arp欺騙
(9) 局域網弱密碼猜解傳播
以administrator為用戶名,對局域網中其他機器進行密碼猜解。如果成功則複製到對方
機器的共享的C,D,E,F盤中,以hackshen.exe
(13)(此方法十分新穎)
遍歷所有文件夾並且將%systemroot%\Tasks\wsock32.dll 複製到每個文件夾下
當該文件夾下的exe文件的導入表含有wsock32.dll的時候,會首先調用同文件夾下的
wsock32.dll,也就是病毒釋放的文件。此時會從下載
http://www.*******.cn/server.exe(病毒最新版本)並執行!!!
(15) 遍歷非系統分區的html,aspx,htm等文件 寫入iframe代碼
以上黃色標起來的是重點
所以你那邊四台會都出問題應該是區網攻擊或arp攻擊
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.171.86
推
09/05 00:34, , 1F
09/05 00:34, 1F
推
09/05 06:17, , 2F
09/05 06:17, 2F
→
09/05 06:19, , 3F
09/05 06:19, 3F
→
09/05 09:23, , 4F
09/05 09:23, 4F
→
09/05 09:23, , 5F
09/05 09:23, 5F
→
09/05 09:24, , 6F
09/05 09:24, 6F
推
09/05 16:13, , 7F
09/05 16:13, 7F
→
09/05 16:33, , 8F
09/05 16:33, 8F
推
09/05 22:48, , 9F
09/05 22:48, 9F
討論串 (同標題文章)
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章