首页
社区
课程
招聘
[注意][求助]2009大礼包链接是不是被种植木马了?
发表于: 2010-7-30 16:51 3978

[注意][求助]2009大礼包链接是不是被种植木马了?

2010-7-30 16:51
3978
有一段时间没来了,今天上来看到短信里有个2009工具大礼包的消息,于是按消息里的这个链接区下载:http://book.kanxue.com/Crack_New_Year_Presents_2009.rar
下载回来只有134K,是个seteup文件。运行时无任何反应,杀软也没提示,再运行还是悄无声息。这个文件是什么,请版主鉴定一下,我是不是执行了木马程序?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 1494
活跃值: (889)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
请把文件传上来看看.
2010-7-31 03:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
那是bt种子,这都不懂?
2010-7-31 13:31
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错,很有见地,警觉性也挺高的。这的确是木马,一个setup.exe文件以及一个usp10.dll文件。其中,setup.exe采用了百度工具栏类图标,有一定的迷惑性,可是不高,因为运行后没反应,稍具常识的都会认为是木马。其中,usp10.dll已经是大家很熟悉的马了,据我所知,这个木马早在2009年就已经出现的了(孤陋寡闻,不对之处请告知。)看雪就有详细的分析逆向文章:
              http://bbs.pediy.com/showthread.php?t=101412
以及简单分析:http://bbs.kanxue.com/showthread.php?t=109432
当然,自己也可以Google下了。
2010-8-9 20:02
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
【新年礼物】加密与解密工具新年大礼包2009 DVD1 页面 的地址是:  http://bbs.pediy.com/showthread.php?t=79867
其中的镜像2--感谢lzylj提供的镜像:
http://book.kanxue.com/Crack_New_Year_Presents_2009.rar
也就是你消息中收到的地址,的确是被黑客替换成了木马链接,不过链接名称完全正确,只不过被替换成了木马文件。无语了。。。测试的时候,注意装下还原系统,如影子系统,Returnil...或者在虚拟机下试验,注意,Ghost恢复系统对这个usp10.dll是没有用的--除非你全盘格式化,oo..
2010-8-9 20:13
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
没错,正常的情况下压缩包离得的确是BT种子文件,可是被替换了,不信者可以自己下载测试下。看雪又被黑了,无语,无聊的人啊。。。
2010-8-9 20:18
0
雪    币: 47147
活跃值: (20480)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
7
book.kanxue.com 这个二级域名前段时间停用了,按理说应该不能下载的,会不会是楼上的 所使用的 DNS Cache server被攻击了?
你是用什么网络上网,如公司网络、公共网络、哪家ISP,有没有使用Proxy server,电脑本身有没有被植入木马等。

book.kanxue.com原来指向的是朋友提供的空间,那个工具帖刚编辑,去除了这个链接。

C:\>ping book.kanxue.com
Ping 请求找不到主机 book.kanxue.com。请检查该名称,然后重试。
2010-8-10 09:12
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵呵,感谢坛主看雪大侠能够看到此贴。没错,现在在“【新年礼物】加密与解密工具新年大礼包2009 DVD1--页面地址:http://bbs.pediy.com/showthread.php?t=79867”中的 镜像2 中显示为: 此链接已经失效--“此链接失效...” 我用的是谷歌的DNS:8.8.8.8 以及8.8.4.4,用的是中国电信ADSL,TP--link加Modem.并没有使用Proxy server。至于有没有中木马,虽然使用NOD32和360扫过,以及安全工具冰刃,Xuetr,狙剑等检查过,但是还是不敢妄下结论。--毕竟用的是D版Ghost的WindowsXP SP3...
2010-8-11 00:08
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
后话:看雪大哥,你在看雪这个页面http://bbs.pediy.com/showthread.php?t=79867的镜像2中的确去除了下载链接--显示为“此链接失效”。可是很多小白菜菜等自己去Google百度下诸如“看雪学院加密与解密工具新年大礼包2009 DVD1”等关键词的时候,在很多的个人博客等页面仍然显示着“http://book.kanxue.com/Crack_New_Year_Presents_2009.rar”这个链接,譬如去我自己的Blog对应页面--“http://hi.baidu.com/guozibaby/blog/item/92d85a177e2ace094a90a7b2.html”仍然可以看到这个链接并通过这个链接下载到这个木马文件。--我在09年下载的时候的确是正确正常的。--并且到目前为止,我通过这个链接仍然可以下载这个木马文件,无论是通过IE还是遨游,世界之窗等下载,或者迅雷,快车,BT电驴等依然可以下载到这个木马RAR压缩文件,其中的usp10.dll是系统隐藏属性,如果直接解压缩,用系统自身的资源管理器是看不见的,解压缩后可以用ARK工具如Wsyscheck等看见这个文件。用自己的电脑毕竟不太放心,于是又跑到网吧去试下效果,网吧用的是锐起无盘加希之光(在深圳)。同样可以下载到这个压缩文件。无语~。
2010-8-11 00:29
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
没错,Ping "book.kanxue.com/"的确不能ping通,用浏览器访问也是显示“无法访问,网址失效”。看来真的可能是DNS的问题无疑??
2010-8-11 00:36
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
啰啰嗦嗦地,抱歉了看雪大哥以及各位过客:有时候通过这个链接下载下来的RAR压缩包可能并不包含usp10.dll,比如昨天我下载的时候就有,现在下载解压缩得到的却并没有usp10.dll,只有一个setup.exe文件,解压缩后360直接提示setup.exe为恶意文件...
2010-8-11 00:59
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
致歉声明:对自己的无知,昨天说看雪又被黑被替换木马链接--对这样懵懂无知的话感到愧疚,深感不安,要被看雪的各位大虾笑话了,菜菜再次向看雪以及看雪大哥以及看雪论坛的***...们致歉。
   再次感谢看雪大哥在百忙中详细关切的回答我的质询疑惑。再次感谢!!!
2010-8-11 01:04
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
今天有点时间。更换了下DNS服务器测试,首先换成诺顿的DNS:198.153.192.1和198.153.194.1 详情访问CnBeta的这个页面地址:http://www.cnbeta.com/articles/112470.htm
依旧可以下载这个文件。
  然后又换成OpenDNS:208.67.222.222和208.67.220.220 详细访问月光博客 :http://www.williamlong.info/archives/1101.html  以及:http://www.williamlong.info/archives/1842.html
听了看雪大哥所说的 DNS Cache server  联想到DNS缓存投毒,于是闲得更换了DNS测试,可是依旧可以下载,无语了!有时间的话,大家帮忙测试下吧。高手请帮忙分析下了。谢谢了。。。
2010-8-12 00:47
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
我的没下载,域名无效。Sorry, "book.kanxue.com" does not exist or could not be found
2010-8-12 01:06
0
游客
登录 | 注册 方可回帖
返回
//