一个很可疑的EXE，但是众多杀软MISS。（再附其产物）

dxhyshxd

原帖由 hyxuzhimin 于 2007-12-29 15:25 发表
大家的杀软发现了它是坏家伙的，也请把杀软名称贴一下吧～～～

dikex

原帖由 hyxuzhimin 于 2007-12-29 16:53 发表
对呀，楼上兄弟给的URL，我的ESS的HTTP自定义网络拦截弹出过这些窗口，当时我正在浏览网页所以没有在意，看来就是那个时候木马生效了。虽然ESS拦截了它去这些地址，但是没有发现这是木马。如果它真的是盗号的或者什么 ...

那东西运行时会狂刷那几个网址，而且自已启动方式太显眼了，是刷流量的应该不会错了；如果真的是刷那几个软件的流量的话，应该就不会有盗号的情况出现了，毕竟如果出了什么意外，制作刷流量的和制作盗号的罪名相差很远

hyxuzhimin

呵呵，我把TMP.EXE换名称成TMP.TXT 打开就这样了。～～
web=www.onlinedown.net/soft/60964.htm
web=www.newhua.com/soft/59103.htm
web=www.skycn.com/soft/37895.html
web=www.onlinedown.net/soft/39109.htm
web=www.skycn.com/soft/37856.html
web=www.skycn.com/soft/37837.html
url=http://www.locksen.com/zb/lsrss.exe

看来产物不是程序啊～～ 为什么要生成程序？还有最后一个url=http://www.locksen.com/zb/lsrss.exe
实在不敢点，害怕再中了。

[ 本帖最后由 hyxuzhimin 于 2007-12-29 17:13 编辑 ]

dikex

原帖由 hyxuzhimin 于 2007-12-29 17:08 发表
呵呵，我把TMP.EXE换名称成TMP.TXT 打开就这样了。～～
web=www.onlinedown.net/soft/60964.htm
web=www.newhua.com/soft/59103.htm
web=www.skycn.com/soft/37895.html
web=www.onlinedown.net/soft/39109.htm
...

混淆视线，不让你可以直接打开那个文本文件，因为看到里面的网址就很容易知道他和做XXX软件的有关系

hyxuzhimin

http://www.locksen.com/zb/lsrss.exe 中的lsrss.exe不知道有没有毒，不敢点，呵呵。

————————————————————————————————————————————————
没仔细看前面的帖子，这个URL已经失效了，不然又进马蜂窝了。

[ 本帖最后由 hyxuzhimin 于 2007-12-29 17:21 编辑 ]

29159011

进程正在输入 创建 值到属于 System Startup 组的注册表键。 这些键控制着在 Windows 启动时执行的模块。

您可以仅在如果您确认您希望允许此程序在 Windows 启动时自动运行时访问这些设置。其它情况下最好拒绝访问。

键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

值: srss

新建数据(Unicode 空结束字符串):
C:\Documents and Settings\Administrator\桌面\srsso\srsso.exe

qigang

主程序和产物，Rising20.24.52全过！

qigang

没有！

hyxuzhimin

回家来也装了个红伞扫了一下，只有开高启发才能报，中等的都不报。

clovedsm

Hello.
New malicious software was found in the attached file. Trojan-Downloader.Win32.Delf.dpz It's detection will be included in the next update. Thank you for your help.

Please quote all when answering. Do not forget to include you registration data.