上周三(10月11日)被暗算得手,当天及次日花了近1个工作日清除病毒和木马。
病毒捕快卡巴斯基查处计155个僵尸文件及病毒,以下为其姓名:
Trojan-PSW.Win32.QQPass.lv
Trojan-PSW.Win32.QQPass.ls
Worm.Win32.Viking.ae
Trojan-PSW.Win32.WOW.fx
Trojan-PSW.Win32.Lineage.akm
Trojan-PSW.Win32.Lineage.akl
Trojan-PSW.Win32.Lineage.ahw
Trojan-PSW.Win32.Agent.iu
义士A(保护原因,隐去姓名)协助蚂蚁去除注册表自启动项10余项。
木马克星AVG Anti-Spyware查处木马计50余项,以下为其姓名:
Trojan.Agent.ia
Trojan.Lmir.awq
Trojan.Agent.ib
Trojan.Lineage.akl
Hijacker.Small.a
Trojan.Delf.hh
Trojan.WOW.jv
Trojan.QQPass.hn
Trojan.WOW.iz
Trojan.QQShou.er
Not-A-Virus.Exploit.JS.ADODB.stream.y
手动删除可疑文件20余项(查看其生成日期)
手动删除_desktop.ini文件7000余。
特别感谢义士P,在预警和围剿众盗过程中它做出了卓越的贡献。
在义士I的帮助下追查盗贼来源,发现其老巢如下(警告!下列网站含有病毒和木马,请不要访问):
www.xiaren168.com
www.17587.com
afied.com
23yad.com
inte1ad.com
公布其中之一whois信息:
Domain name: 17587.com
Registrant Contact:
dong dong
dong li web17587@126.com
0431-4569823 fax: 0431-4569823
Beijing
Beijing Beijing 100000
cn
Administrative Contact:
dong li web17587@126.com
0431-4569823 fax: 0431-4569823
Beijing
Beijing Beijing 100000
cn
Technical Contact:
dong li web17587@126.com
0431-4569823 fax: 0431-4569823
Beijing
Beijing Beijing 100000
cn
Billing Contact:
dong li web17587@126.com
0431-4569823 fax: 0431-4569823
Beijing
Beijing Beijing 100000
cn
DNS:
dns1.zgsj.com
dns2.zgsj.com
Created: 2006-09-05
Expires: 2007-09-05
分析木马页面3.htm,其为一加密过的VB脚本,还原其内容发现利用的是IE ADODB.Stream ActiveX漏洞(该漏洞的补丁在此),其大部分木马程序使用UPX打包或加密。
主要下载的病毒木马为:
Trojan.Lineage.aks
Trojan.Lineage.alw
Trojan.QQPass.lk
Trojan.Lineage.akl
Trojan.WOW.iz
Trojan.Delf.hh
Trojan.Agent.ix
Worm.Viking.bb
总体来说比较幸运,该变种大盗维金只感染setup.exe和install.exe类似文件,壮士断臂损失不大。
另一个感叹就是现在的木马病毒依赖杀毒软件和反间谍软件自动化工具很难清除干净,手工劳动难免。
最后送一句话给木马传播者:多行不义必自毙、头上三尺有神明。
Technorati : 木马, 病毒