Sogi! 手機王首頁也被植入木馬 !!

Home Home
登入註冊發表列印 載入圖片
引用 | 編輯 upside
2006-11-03 04:18		 樓主
推文 x0
Sogi! 手機王首頁也被植入木馬 !! -->
Roger | 01 Nov, 2006 16:42
95年10月29日手機王首頁也被植入木馬(Lineage),分析了一下,結果如下:
1. 首頁被植入 iframe:
http://www. myemage .com/V20/Daren/images/img.html
2. img.html 是一個 VBScript,它會下載或執行 2.exe
3. 執行之後,系統產生:
[DLL Injection]
C:/Documents and Settings/Administrator/Local Settings/Temp/svchost.exe 注入某些執行程序 (如svchost.exe)。
C:/WINDOWS/system32/gfile.dll 注入某些執行程序 (如explorer.exe)。
[Drop Files]
C:/Documents and Settings/Administrator/Local Settings/Temp/svchost.exe
C:/WINDOWS/system32/gfile.dll
C:/WINDOWS/system32/goodfile.exe
[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}–C:/WINDOWS/system32/gfile.dll
[Added Registries]
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}

獻花 x0