荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (回家的感觉真好), 信区: Virus
标 题: Irc-Smallfeg
发信站: 荔园晨风BBS站 (Wed Feb 20 11:41:36 2002), 站内信件
病毒名称:Irc-Smallfeg
发现日期:2002-02-07
长度:44,032字节(生成文件)19,168字节(服务器组件)
病毒类型:特洛伊木马
病毒简介:
用户最常遇见的便是此木马的生成文件ModemSpeedEnhancer.Exe,当在
NT/2000系统上运行时,此生成文件会创建%WINDIR%\CACHE文件夹,且在该文件夹
下生成SVCHOST.EXE文件,随后该文件便作为一个进程开始运行。一旦进程运行,
会在%WINDIR%\CACHE文件夹下生成文件JUPE.DLL,该文件含有一此加密数据(大约
50个字节),可能是关于中毒机器的信息。之后,该木马便尝试连接22台各种远程
服务器的6667端口。例如:
graz2.at.eu.undernet.org
haarlem.nl.eu.undernet.org
London.uk.eu.undernet.org
若连接成功,此木马会试图在IRC网络中加入一特殊频道,其绰号可能是保存
在SVCHOST.EXE文件中的两个词组成,如gold, plat, fat, bomb, hehe, goal。同
时在SVCHOST.EXE文件中会出现许多控制客户端的命令,如‘.HALO‘, ‘.INFO‘,
‘.PACKET‘, ‘.RAW‘, ‘.QUIT‘, ‘.REHASH‘, ‘.KILL‘, ‘.NICK‘, ‘
.JUPESTAT‘, ‘.JUPE‘, ‘.DOWNLOAD‘, ‘.PROGRESS‘ and ‘.SHELL‘。
当在Win9x系统上运行时,ModemSpeedEnhancer.Exe文件不会产生什么危害,
也不会创建服务器组件。
中毒迹象:
会在机器上出现如下文件:
%WINDIR%\CACHE\SVCHOST.EXE (19,968 字节)
%WINDIR%\CACHE\JUPE.DLL (约52 字节)
感染方式:
通过ModemSpeedEnhancer.EXE(44,032字节)文件的执行来进行传染。
--
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂寻寻觅觅♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀蓦然回首♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂那人却在♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂灯火阑珊处♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店