本想怀旧超级玛丽，却中捆绑病毒

bbeikke

本想怀念下超级玛丽这款经典游戏的。
没想到中招了。
小红伞扫描不出病毒，本身无毒。

安装的过程中小红伞不断的报毒，我无视。
继续安装。
后果很严重！
过会儿，微点也依据行为报毒了。
等到微点报毒，我想删，提示删除失败。
主页什么的的也被篡改了。
被改成了：http://www.6700.cn/?f
让我郁闷的是我用微点注册表保护了主页。
篡改主页的时候微点竟然无视！
后来查看了微点的日记，木马的具体行为基本如下：
1、生成C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\_IR_SF7_TEMP_0\IRSETUP.EXE
2、通过IRSETUP.EXE联网下载：

http://downso.3322.org/asp/mpsms.exe
http://www.322311.cn/asp/mpsmx.exe
http://www.662661.cn/asp/mpsmo.exe
3、通过前面下载的文件挟持SVCHOST.EXE释放出
C:\WINDOWS\BITSV.EXE

4、再由C:\WINDOWS\BITSV.EXE释放出生成：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\STUB.EXE        
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\STAPI.EXE        
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\KILL360BOX.EXE        
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\INTEFIO.EXE
其中KILL360BOX.EXE 是用来结束360保险箱的，STAPI.EXE貌似是用来盗号的。
还真是


样本下载地址：http://www.662661.cn/soft/UploadFile/200804/supermario.rar
PS：小看这个木马了，以为只是改改主页的。后来发现我错了！

[ 本帖最后由 bbeikke 于 2009-1-29 10:25 编辑 ]

change_018

红伞扫描不报 没运行

超级玛丽 我喜欢= =

[ 本帖最后由 change_018 于 2008-11-30 21:58 编辑 ]

bbeikke

红伞在扫描时不报毒，在安装时不断的报毒。

[ 本帖最后由 bbeikke 于 2008-11-30 21:59 编辑 ]

change_018

不撞南墙不回头

tonger2003

运行后 主页没有改变~~~

bbeikke

不是吧？再看看，我的运行后主页被改成了http://www.6700.cn/?f
难道病毒也看人品？

[ 本帖最后由 bbeikke 于 2008-11-30 22:13 编辑 ]

Palkia

浪滔天

安装了一遍，玩了一会儿，卸载了一遍，啥都没了，啥都没改，除了有键盘拦截．．．．．
不过模拟器类的游戏有类似的行为貌似也说得过去．．
安装中卡巴还把释放出来的一个安装文件加入了信任，谢谢楼主，年轻时曾整夜玩这个

[ 本帖最后由 浪滔天 于 2008-11-30 22:36 编辑 ]

浪滔天

漏了一条，会联网下载　
http://downso.3322.org/asp/mpsms.exe
http://www.322311.cn/asp/mpsmx.exe
http://www.662661.cn/asp/mpsmo.exe
      

我的卡巴设了阻止直接下载exe文件的规则．

不知道是什么东东....

[ 本帖最后由 浪滔天 于 2008-11-30 23:05 编辑 ]

leonfg

原帖由 浪滔天 于 2008-11-30 22:55 发表
漏了一条，会联网下载　
http://downso.3322.org/asp/mpsms.exe
http://www.322311.cn/asp/mpsmx.exe
http://www.662661.cn/asp/mpsmo.exe
      

我的卡巴设了阻止直接下载exe文件的规则．

不知道是什么东 ...

貌似不是好东西
LZ要是的是用别的杀软，报了之后没准儿还会谨慎一些
要是用卡饭第一杀软就

[ 本帖最后由 leonfg 于 2008-11-30 23:48 编辑 ]