微点交流论坛

标题: 一个网站上面居然挂了这么多的木马 [打印本页]

作者: fujianwzh 时间: 2006-8-30 15:00 标题: 一个网站上面居然挂了这么多的木马

昨天晚上，就是8月29日晚上9点左右，不会有什么太大的问题吧，按微点的提示操作了。然后就没有再发生什么事情。

第二天中午，再次接入网络，这下不得了，微点的警报一个接一个的跳出来，看的我眼花。这下我留意了，将微点提示的信息全部都复制下来了，让大家一起来看看。

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\QPCNY16X\ADMIN[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMP\MOI.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\IPW32XET\QIDONG[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMP\AN85.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\CD234PI3\QIDONG[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMP\AN85.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\S9IB4PMF\QIDONG[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMP\AN85.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\C5SDEFGL\QIDONG[1].EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\NEW\LOCAL SETTINGS\TEMP\AN85.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

……
……

上面的这几个提示一直不停的出现，好像在循环。我不知道微点是不是也需要改进一下了。

因为IE没有响应了，所以我暂时无法将网址复制下来，等下再想想办法将他找出来

[ Last edited by fujianwzh on 2006-8-30 at 15:21 ]

作者: Legend 时间: 2006-8-30 15:32
请问楼主微点的版本是多少？
楼主在测试时是否关闭了网页？

作者: fujianwzh 时间: 2006-8-30 15:55
程序版本： 1.2.10433
特征版本： 1.3.102.060829
更新时间： 2006-08-29 21:37:08

不是测试，是系统会自行打开网页，然后微点就有了这么多的提示，IE无法关闭。

用 IceSword 看不到任何隐藏的进程，用微点也没有发现可疑的进程，防火墙也看不到有对外的连接。发现了一个不知道哪里冒出来的服务：VKTserv

同时 Host 文件被修改成这样：

59.34.197.239    www.baidu.com
59.34.197.239    baidu.com
59.34.197.239    www.sohu.com
59.34.197.239    sohu.com
59.34.197.239    www.sina.com
59.34.197.239    sina.com
59.34.197.239    www.sina.com.cn
59.34.197.239    sina.com.cn
59.34.197.239    www.163.com
59.34.197.239    163.com
59.34.197.239    www.google.com
59.34.197.239    google.com
59.34.197.239    www.qq.com
59.34.197.239    qq.com
59.34.197.239    www.hao123.com
59.34.197.239    hao123.com
59.34.197.239    ttlttt.com
59.34.197.239    about:blank

作者: Legend 时间: 2006-8-30 16:00
请把您的微点的系统自启动信息、程序生成日志、注册表变更日志导出发到 support@micropoint.com.cn我们分析下

作者: fujianwzh 时间: 2006-8-30 16:16
系统自启动信息

这个由于刚才被我手动删除了 VKTserv 服务，所以有些不全面了。

三份文件马上会发送至 support@micropoint.com.cn ，现在 Gmail 暂时出了一些状况

作者: my028 时间: 2006-8-30 21:09
晕
网站不得了了

作者: nasdaq 时间: 2006-8-30 21:28
真损，连about:blank都给指向了

作者: pjc1980 时间: 2006-8-30 22:03
QIDONG[1].EXE

一看就是国产木马，文件名都是汉语拼音

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn