毒网一般会调用MDAC组件？

显示全部楼层 · 发表于 2008-2-9 22:33:04

发现咖啡拦截这个动作后

什么下载exe文件的动作都没有了。。。

显示全部楼层 · 发表于 2008-2-9 23:46:59

MDAC组件是哪个？学习下。

显示全部楼层 · 发表于 2008-2-10 01:32:21

这个是MS06014网马利用的，利用这个msadco.dll，可以实现IE后台自动下载。这是第一步。所以阻止了就没有下面的动作了。当然如果你打了系统补丁也会没有动作

不过，网马要成功下载病毒的话还需要创建adobo.stream或者Microsoft.XMLHTTP对象，下载完成后复制到指定目录，再利用Shell.Application的ShellExecute方法执行毒物。例外有的版本还利用到FSO组件来获取系统目录。

而利用其它漏洞的网马不一定会用到以上提到的com，例如7033和其它软件的0day网马

显示全部楼层 · 发表于 2008-2-10 10:29:12

我不用IE，用遨游的，能否将遨游排除？

显示全部楼层 · 发表于 2008-2-10 11:11:48

谢谢气流的指点。让我这样没理论基础的人一点点的进步。

显示全部楼层 · 发表于 2008-2-10 16:23:34

唉!! 学习了. 长见识了.

显示全部楼层 · 发表于 2008-2-10 19:00:59

同样谢谢rapper的指点

[求助] 毒网一般会调用MDAC组件？