惊!偶然发现本本上的木马!

  上午有同事说blog上的天气预报用IE7会报错,于是进入"C:\Program Files\Internet Explorer"打开IE7官方浏览器,查看,没有报错啊,可能是同事的IE限制了什么东西吧.
  回头正准备关闭窗口,咦?IE7的exe旁边怎么还有一个鼠标一样图标的"Down(1).exe"?奇怪,用Uniextract解出来看看,结果提示已经加壳,好嘛,脱嘛,也简单,ASPack的,直接就脱了,然后再解,提示没有找到压缩的格式,可能就一个exe单文件.然后用winhex打开,拖到最后,发现还有自释放到c盘的部分,释放路径为"C:\windows\mo12-25-18-00.ex_"(此处的文件夹名称可能为一变量,即有可能每次生成的名字都不同),还有已经录制好的"fap"文件,万一这个文件落入不法分子之手,倒了,不敢往下想了……在网上搜索了一下文件名,结果与猜测相同:可以确定为木马行为,删!
  然后进入刚从winhex看到的释放路径,果然,又换了个名字在这藏着呢!然后查看进程,果然也有这个名字的进程,而且还是属于"system"的进程!不管了,删!
  最后清理注册表,搜索主程序的名字"Fairy_Ape.exe",

发现第一处:
[HKEY_CLASSES_ROOT\.fap]
将其主键值删除时发现该键值无权限,一看,该键值所有用户均无任何权限,看来深得偶的真传!

第二处:
[HKEY_CLASSES_ROOT\.LAS]
同样无权限,加上,删!

第三处:
[HKEY_CLASSES_ROOT\fap.Document]
还是无权限,再加,再删!

第四处:
[HKEY_CLASSES_ROOT\LAS.Document]
方法一样.

第五处:
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="fairy_ape.exe"
这里继承了上层权限,删!

第六处:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"d"="C:\\Documents and Settings\\Administrator\\桌面\\Fairy_Ape.rar"
"e"="C:\\Documents and Settings\\Administrator\\桌面\\Fairy_Ape\\Fairy_Ape.exe"
不废话了,删吧.

第七处:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\\Documents and Settings\\Administrator\\桌面\\Fairy_Ape\\Fairy_Ape.exe"
"MRUList"="a"
一个字.

再后面的就是记录的运行过的程序的信息了,也删了就可以了.


  至此,冷汗才开始回温,轻叹一口气.记得刚才记录下来的木马的exe信息里面有个网站:http://www.yhhe.net(有兴趣的朋友可以进去看看),进入看看,打开,是一鹤软件的"模拟精灵",专门用来记录键盘和鼠标所有动作,然后重新模拟一遍,明显的木马性质,鄙视利用该软件进行非法用途的人!另外,发现它录制好的脚本里面多次出现一个网站地址:"http://www.diymov.com",可能是强制用户的鼠标去点这个网站吧.本来写出一个这样的软件是为了减少工作量,避免重复的工作,但是却有人拿来欺负我们善良的网民的无知,如果能把这些小聪明小才能用在正道上,我国的软件产业又怎么会连印度都赶不上呢?

[本日志由 黑咖啡 于 2007-01-14 19:16:09 编辑]
上一篇: iphone,值得期待的手机
下一篇: 系统加解锁工具
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 木马 一鹤软件 模拟精灵
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 支持Gravatar头像.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.