hxxp://zy.gemdale.com/HR.asp上的马及如何防范 by roxiel[LSG]

roxiel · 发表于 2009-7-7 17:42

本帖最后由是昔流芳于 2011-2-11 14:49 编辑

后台启动IE进程
文件
C:\WINDOWS\SYSTEM32\【SKCFUJQ5EDN】.DLL
C:\Documents and Settings\【username】\Application Data\a.exe
?:\autorun.inf

?:\1.exe
修改 C:\WINDOWS\SYSTEM32\drivers\acpiec.sys
C:\WINDOWS\PHPQ.DLL
C:\WINDOWS\SYSTEM32\FUNC.DLL
C:\WINDOWS\SYSTEM32\DRIVERS\PCIDUMP.SYS


C:\Documents and Settings\new\Local Settings\Temporary Internet Files\Content.IE5\【A1472DA5】\数字.exe

注：IE临时文件夹内的文件未执行
   还有东西没有下载完

注册表
HKEY_CLASSES_ROOT\CLSID\{76CBCF38-0583-44C7-A1AE-D463DFE625EC}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{76CBCF38-0583-44C7-A1AE-D463DFE625EC}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS,{76CBCF38-0583-44C7-A1AE-D463DFE625EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCIDUMP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCIDUMP\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCIDUMP\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEDATA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEDATA\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEDATA\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCIDUMP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCIDUMP\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCIDUMP\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEDATA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEDATA\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEDATA\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPDATEDATA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPDATEDATA\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPDATEDATA\Enum

1.exe 修改 HOSTS
127.0.0.1    v.onondown.com.cn
127.0.0.2    ymsdasdw1.cn
127.0.0.3    h96b.info
127.0.0.0    fuck.zttwp.cn
127.0.0.0    www.hackerbf.cn
127.0.0.0    geekbyfeng.cn
127.0.0.0    121.14.101.68
127.0.0.0    ppp.etimes888.com
127.0.0.0    www.bypk.com
127.0.0.0    CSC3-2004-crl.verisign.com
127.0.0.1    va9sdhun23.cn
127.0.0.0    udp.hjob123.com
127.0.0.2    bnasnd83nd.cn
127.0.0.0    www.gamehacker.com.cn
127.0.0.0    gamehacker.com.cn
127.0.0.3    adlaji.cn
127.0.0.1    858656.com
127.1.1.1    bnasnd83nd.cn
127.0.0.1    my123.com
127.0.0.0    user1.12-27.net
127.0.0.1    8749.com
127.0.0.0    fengent.cn
127.0.0.1    4199.com
127.0.0.1    user1.16-22.net
127.0.0.1    7379.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com
127.0.0.1    7255.com
127.0.0.1    user1.23-12.net
127.0.0.1    3448.com
127.0.0.1    www.guccia.net
127.0.0.1    7939.com
127.0.0.1    a.o1o1o1.nEt
127.0.0.1    8009.com
127.0.0.1    user1.12-73.cn
127.0.0.1    piaoxue.com
127.0.0.1    3n8nlasd.cn
127.0.0.1    kzdh.com
127.0.0.0    www.sony888.cn
127.0.0.1    about.blank.la
127.0.0.0    user1.asp-33.cn
127.0.0.1    6781.com
127.0.0.0    www.netkwek.cn
127.0.0.1    7322.com
127.0.0.0    ymsdkad6.cn
127.0.0.1    localhost
127.0.0.0    www.lkwueir.cn
127.0.0.1    06.jacai.com
127.0.1.1    user1.23-17.net
127.0.0.1    1.jopenkk.com
127.0.0.0    upa.luzhiai.net
127.0.0.1    1.jopenqc.com
127.0.0.0    www.guccia.net
127.0.0.1    1.joppnqq.com
127.0.0.0    4m9mnlmi.cn
127.0.0.1    1.xqhgm.com
127.0.0.0    mm119mkssd.cn
127.0.0.1    100.332233.com
127.0.0.0    61.128.171.115:8080
127.0.0.1    121.11.90.79
127.0.0.0    www.1119111.com
127.0.0.1    121565.net
127.0.0.0    win.nihao69.cn
127.0.0.1    125.90.88.38
127.0.0.1    16888.6to23.com
127.0.0.1    2.joppnqq.com
127.0.0.0    puc.lianxiac.net
127.0.0.1    204.177.92.68
127.0.0.0    pud.lianxiac.net
127.0.0.1    210.74.145.236
127.0.0.0    210.76.0.133
127.0.0.1    219.129.239.220
127.0.0.0    61.166.32.2
127.0.0.1    219.153.40.221
127.0.0.0    218.92.186.27
127.0.0.1    219.153.46.27
127.0.0.0    www.fsfsfag.cn
127.0.0.1    219.153.52.123
127.0.0.0    ovo.ovovov.cn
127.0.0.1    221.195.42.71
127.0.0.0    dw.com.com
127.0.0.1    222.73.218.115
127.0.0.1    203.110.168.233:80
127.0.0.1    3.joppnqq.com
127.0.0.1    203.110.168.221:80
127.0.0.1    363xx.com
127.0.0.1    www1.ip10086.com.cm
127.0.0.1    4199.com
127.0.0.1    blog.ip10086.com.cn
127.0.0.1    43242.com
127.0.0.1    www.ccji68.cn
127.0.0.1    5.xqhgm.com
127.0.0.0    t.myblank.cn
127.0.0.1    520.mm5208.com
127.0.0.0    x.myblank.cn
127.0.0.1    59.34.131.54
127.0.0.1    210.51.45.5
127.0.0.1    59.34.198.228
127.0.0.1    www.ew1q.cn
127.0.0.1    59.34.198.88
127.0.0.1    59.34.198.97
127.0.0.1    60.190.114.101
127.0.0.1    60.190.218.34
127.0.0.0    qq-xing.com.cn
127.0.0.1    60.191.124.252
127.0.0.1    61.145.117.212
127.0.0.1    61.157.109.222
127.0.0.1    75.126.3.216
127.0.0.1    75.126.3.217
127.0.0.1    75.126.3.218
127.0.0.0    59.125.231.177:17777
127.0.0.1    75.126.3.220
127.0.0.1    75.126.3.221
127.0.0.1    75.126.3.222
127.0.0.1    772630.com
127.0.0.1    832823.cn
127.0.0.1    8749.com
127.0.0.1    888.jopenqc.com
127.0.0.1    89382.cn
127.0.0.1    8v8.biz
127.0.0.1    97725.com
127.0.0.1    9gg.biz
127.0.0.1    www.9000music.com
127.0.0.1    test.591jx.com
127.0.0.1    a.topxxxx.cn
127.0.0.1    picon.chinaren.com
127.0.0.1    www.5566.net
127.0.0.1    p.qqkx.com
127.0.0.1    news.netandtv.com
127.0.0.1    z.neter888.cn
127.0.0.1    b.myblank.cn
127.0.0.1    wvw.wokutu.com
127.0.0.1    unionch.qyule.com
127.0.0.1    www.qyule.com
127.0.0.1    it.itjc.cn
127.0.0.1    www.linkwww.com
127.0.0.1    vod.kaicn.com
127.0.0.1    www.tx8688.com
127.0.0.1    b.neter888.cn
127.0.0.1    promote.huanqiu.com
127.0.0.1    www.huanqiu.com
127.0.0.1    www.haokanla.com
127.0.0.1    play.unionsky.cn
127.0.0.1    www.52v.com
127.0.0.1    www.gghka.cn
127.0.0.1    icon.ajiang.net
127.0.0.1    new.ete.cn
127.0.0.1    www.stiae.cn
127.0.0.1    o.neter888.cn
127.0.0.1    comm.jinti.com
127.0.0.1    www.google-analytics.com
127.0.0.1    hz.mmstat.com
127.0.0.1    www.game175.cn
127.0.0.1    x.neter888.cn
127.0.0.1    z.neter888.cn
127.0.0.1    p.etimes888.com
127.0.0.1    hx.etimes888.com
127.0.0.1    abc.qqkx.com
127.0.0.1    dm.popdm.cn
127.0.0.1    www.yl9999.com
127.0.0.1    www.dajiadoushe.cn
127.0.0.1    v.onondown.com.cn
127.0.0.1    www.interoo.net
127.0.0.1    bally1.bally-bally.net
127.0.0.1    www.bao5605509.cn
127.0.0.1    www.rty456.cn
127.0.0.1    www.werqwer.cn
127.0.0.1    1.360-1.cn
127.0.0.1    user1.23-16.net
127.0.0.1    www.guccia.net
127.0.0.1    www.interoo.net
127.0.0.1    upa.netsool.net
127.0.0.1    js.users.51.la
127.0.0.1    vip2.51.la
127.0.0.1    web.51.la
127.0.0.1    qq.gong2008.com
127.0.0.1    2008tl.copyip.com
127.0.0.1    tla.laozihuolaile.cn
127.0.0.1    www.tx6868.cn
127.0.0.1    p001.tiloaiai.com
127.0.0.1    s1.tl8tl.com
127.0.0.1    s1.gong2008.com
127.0.0.1    4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com

解决方案：
  360安全卫士系统防火墙全部阻止
  WINDOWS清理助手系统区扫一遍
  替换回windows\system32\drivers\acpiec.sys
  重置HOSTS文件

smallyou93 · 发表于 2009-7-15 10:33

:Pwindows\system32\drivers\acpiec.sys病毒替换加载后会自删除

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] hxxp://zy.gemdale.com/HR.asp上的马及如何防范 by roxiel[LSG]

免费评分