又一个走偏门的人——佣金中国注册IDCenfang

[复制链接]
查看: 1789   回复: 13
发表于 2005-3-11 23:27:40 | 显示全部楼层 |阅读模式
刚检查信箱,收到来自niesuxia2003@yahoo.com.cn的一封信,附件为readme.pif (124k) ,经过检查:
Virus Scan Results


File name: readme.pif
File size: 124kb
File type: application/octet-stream
Scan result: Virus "W32.Lovgate.R@mm" found.
The file attached to this message was infected with a virus that we were unable to clean. You can not download this attachment.

Note: Not all viruses can be cleaned. Please contact the message sender and request that they send you a virus-free version of this attachment.

接着我GG了一下,揪出他的马甲了。http://www.ccbbs.com/viewpro.php ... ng&sid=9m1ZE7BE
没想到给人种木马还有水平这么次的人,回去好好修炼在出来混,也请大家多留心。
 楼主| 发表于 2005-3-11 23:34:02 | 显示全部楼层

原来这里也有。

朋友们好:做网站,单打独斗很难做到支付,只有联合起来,大家一起赚,才有
大收获!!爱搜猴就是这样一个网站!!!
  注册地址http://league.isoho.com.cn/index.jsp?refid=1123
         
   爱搜猴联盟网站是目前最完善的网赚联盟站点。你可以通过它先进的运行
机制获得大量的下线。尤其是可以随机自动为你产生下线。在这一点上是其它
类似的网站无法比拟的,在管理操作上也更简单方便。您可以注册系统为您提
供的优秀站点,您也可以在系统中加入您正在做的站点,如果您加入的站点系
统中还没有,您的链接将成为该赚钱网站的原始链接,所有通过本站注册该网
站的人都将成为您的直接或间接下线,您会拥有大量下线。猴年加入<爱搜猴>
一切都将拥有!!!
注册地址http://league.isoho.com.cn/index.jsp?refid=1123

进站要注意,激活(注册五个以上的加粗网站)以后才能进等下线的行列(大概两到
三天,你就开始收下线了,视你注册的网站多少和注册的人多少而定),如果你注册

我注册过的网站,我一定在最短的时间激活你.让你收到下线!!


有什么问题可联系我!
邮址:niesuxia2003@yahoo.com.cn
QQ:270998552
                                       祝你猴年好运!
回复 支持 反对

使用道具 举报

发表于 2005-3-11 23:37:28 | 显示全部楼层
打不开了。
回复 支持 反对

使用道具 举报

发表于 2005-3-11 23:38:06 | 显示全部楼层
有个问题,  邮件病毒,  是打开邮件,  就会中毒,  还是  要下载附件才中招。

请高手赐教
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-3-11 23:38:45 | 显示全部楼层
Originally posted by btang at 2005-3-11 23:37
打不开了。

???
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-3-11 23:39:31 | 显示全部楼层
Originally posted by liao28 at 2005-3-11 23:38
有个问题,  邮件病毒,  是打开邮件,  就会中毒,  还是  要下载附件才中招。

请高手赐教


即使下载了也不要点击运行,先检查病毒,一般YAHOO有自带的检查系统。
回复 支持 反对

使用道具 举报

发表于 2005-3-12 00:34:26 | 显示全部楼层
Originally posted by 千里飘雪 at 2005-3-12 00:33
扯呢,打开也会中毒的。

偶像 你来了?!我现在看见你就有点崇拜,我是不是病了?
回复 支持 反对

使用道具 举报

发表于 2005-3-12 00:56:10 | 显示全部楼层
Originally posted by 千里飘雪 at 2005-3-12 00:33
扯呢,打开也会中毒的。


要有图片才会中毒
回复 支持 反对

使用道具 举报

发表于 2005-3-12 11:11:43 | 显示全部楼层
基本上,凡是带有附件且不认识的Email,我都删。
回复 支持 反对

使用道具 举报

CrAcKlOve 该用户已被删除
发表于 2005-3-12 12:05:38 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-3-12 12:10:00 | 显示全部楼层

这个MM够狠的。。。。

W32.Lovgate.R@mm(别名lovgate.w)病毒档案


别名:Win32/LovGate.AB.Worm, W32/Lovgate.R@mm (F-Secure), I-Worm.LovGate.w (Kaspersky), WORM_LOVGATE.W (Trend), W32/Lovgate.x@MM (McAfee)

W32.Lovgate.R@mm 病毒运行后,执行如下过程:
1.把自身复制成如下文件:
%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\Kernel66.dll(设置成隐藏,只读的系统属性)
%System%\WinHelp.exe
* 缺省情况下Windows NT/2000System文件夹为C:\Winnt\ System32, XP下为C:\Windows\System32

2.创建下列文件:
 %System%\ODBD16.DLL(53,760 bytes)
%System%\Msjdbc11.DLL(53,760 bytes)
%System%\MSSIGN30.DLL(53,760 bytes)

%System%\NetMeeting.exe(61,440 bytes)
%System%\spollsv.exe(61,440 bytes)

3.在病毒所在文件夹下,可能创建如下文件:
a
results.txt
win2k.txt
winxp.txt

4.病毒修改注册表:
 1).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加如下键值确保自身在系统运行后启动:
"Hardware Profile"="%System%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Proteced Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSING30.DLL ondll_reg"
"WinHelp"="%System%"\WinHelp.exe
 
2).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下添加如下键值将自身设为服务(Windows 95/98/Me下):
"SystemTra"="%Windir%\Systra.exe"

3).在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下添加如下键值使得(NT/2000/XP)系统启动时,病毒同时运行:
"run"="RAVMOND.exe"

4).创建子键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

5.停止如下服务:
Rising Realtime Monitor Service
Symantec Antivirus server
Symantec Client

6.创建关联"Rundll32.exe msjdbc11.dll ondll_server"的服务:"Windows Management Protocol v.0(experimental).","_reg"

7.终结包含如下字符串的所有进程(很明显,病毒想停止杀毒程序的进程):
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising

8.在6000端口上运行后门程序,该程序收集机器的系统信息保存到C:\Netlog.txt中,并将其发送至攻击者。

9.以如下形式将自身拷贝到所有网络共享文件夹及其子文件夹下:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe

10.扫描本机所在局域网,以"Administrator"作为账号,并用如下字符串作为口令试探登陆其他机器:
Guest
Administrator
.....
*如果没有设置密码,病毒同样会用"Adimistrator"登陆远程机器

11.如果病毒能够成功登陆远程机器,它会尝试将自身复制到\\<remote computer name>\admin$\system32\NetManager.exe,并把文件"Windows Management NetWork Service Extensions."设为服务

12.向Explore.exe或者Taskmgr.exe中注入线程,如果线程发现病毒程序没有运行,或者已经被删除,它会尝试拷贝自身并运行。

13.在随机端口打开FTP服务,并且不加认证,这也意味着被感染的机器已经向所有人开放。

14.创建一个网络共享"Media",指向"%Windir%\Media"

15.在所有硬盘分区(不包括A,B)的根目录下创建压缩文件:<filename>.<ext>。
<filename>通常是如下中一个:
WORK
setup
Important
bak
letter
pass

<ext>通常是RAR或者ZIP

该压缩包中包含一份病毒的备份文件,文件名为<filename>.<ext>
<filename>通常是如下中一个:
WORK
setup
Important
book
email
PassWord

<ext>通常是exe,com,pif,scr

16.在所有分(不含CD-ROM分区)的根目录下创建文件Autorun.inf,并将其拷贝为该文件夹下的Command.com
*如果双击该图标,病毒将被运行.

17.病毒扫描所有硬盘分区,一旦发现分区属于移动硬盘,映射驱动器或者分区号超过E,则病毒将执行如下操作:
尝试将所有扩展名为.exe的文件其扩展名改成.zmx
将这些文件的属性设成“隐藏”和“系统”
将自身拷贝为原始文件名
例如:病毒发现文件temp.exe,它将把文件更名为temp.zmx,并将自己的一个拷贝改名为temp.exe

18.通过DCOM RPC漏洞(基于TCP协议的135端口),尝试攻击其他机器

19.通过各种邮件客户端程序(包括OE),回复邮箱里的所有来信
例如: 原始邮件如下:
Subject: <subject>
From: <someone>@<somewhere.com>
Message: <original message body>

病毒尝试发送如下邮件:
Subject: Re: <subject>
To: <someone>@<somewhere.com>
Message:
<someone> wrote:
====
> <original message body>
>
====

<senders domain> account auto-reply:
后边通常是:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,dont deal in lies,
Or, being hated, dont give way to hating,
And yet dont look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE <senders domain>now! <

附件通常是下边中的一个:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe


20.扫描系统的WAB文件,Internet临时文件夹,映射驱动器,以及内存,将自身通过收集到的邮件地址发送出去。

21.病毒遍历所有硬盘分区以及内存,在扩展名是下列几种的文件中收集E-mail地址:
.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab

22.使用其自身携带的SMTP引擎,发送邮件
邮件如下:
发送人: 发送人的姓名在病毒携带的列表里随机寻找一个

标题: 邮件的主题通常是下边的一个:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

正文: 邮件内容通常是下边的一个:

Its the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail failed. For further assistance, please contact!

附件: 随机创建文件名,并生成如下扩展名:

.exe
.scr
.pif
.cmd
.bat
.zip
.rar
回复 支持 反对

使用道具 举报

CrAcKlOve 该用户已被删除
发表于 2005-3-12 13:08:40 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2005-3-12 14:16:51 | 显示全部楼层
自己搜索的...
俺中这个病毒无数次...每次都头大...
回复 支持 反对

使用道具 举报

发表于 2005-3-12 14:46:27 | 显示全部楼层
CENFANG--来自aisoho,应该是我们这里的vip会员
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则