转载请注明出自华夏网盟 http://www.hxwglm.com
易游平台发现最新穿透病毒 2012.11.27 不知道这个病毒,会不会穿到各大游戏平台!
易游防火墙打开
SDP已经升级到最近发布的最新版本!
此类病毒,和顺网被穿的病毒代码,病毒写法,运行方式,都基本吻合.,,应该是同一伙人,只是这次穿透,隐藏得更深,文件存放位置更牛B。。
建议各位,尽快使用华夏网盟病毒检测工具,在使用的,请尽快升级到最新版本!
检测工具下载地址:如下:
http://www.hxwglm.com/thread-3879-1-1.html
临时解决方案,仅供参考!
1.不管顺网用户,易游用户,各大平台,都请使用最新版的华夏网盟病毒检测工具!
检测工具下载地址:如下:
http://www.hxwglm.com/thread-3879-1-1.html
2.封掉三个IP : 119.147.153.112 183.60.204.122 219.138.163.58
3.禁止进程: SqlDataBase.exe
需要 dnfxs.dll SqlDataBase.exe ClientS62DC66F1.exe(会自动删除,有可能很重要) 两个文件的,请直接联系本人 不离不弃: qq 455289757 虽然这几个文件,可能不是穿透文件,但是希望也能帮到一些忙!嘻嘻!
今天有个网吧老板打电话来说,WOW帐号被盗,我到网吧的时候,开盗号的那台机,一开始我还不相信,用安全软件扫描了一次,也没有发现任何病毒,后面我打开进程,一看,这病毒作者应该有点粗心,进程忘加隐藏了,,,无意中让我发现了 SqlDataBase.exe 路径为"C:\System Volume Information\SqlDataBase.exe" 这个目录,在系统下是打开是,是无文件的,我用安全软件扫描,也是扫不出病毒的。 我进入DOS,进入 C:\System Volume Information\SqlDataBase.exe 把文件copy了出来。。需要这个文件的,联系我本人 : qq 455289757 然后 我用UE打开这个文件, 发现里面有句话。。 http://219.138.163.58:800/count/count.asp 打开这个网站,没有任何可用信息。。。这个文件
继续分析SqlDataBase.exe 这个文件。。
发现有winsta0\default exploer.exe 修改hosts等 c:\windows\system32\drivers\etc\hosts 127.0.0.1 %08x.%s A..........等!
然后 我运行魔兽世界,地下城, 在这个过程中,又发现了一个重大进程!
rundll32.exe 然后 我看到这个文件,看它的命令行,如果不是分析命令行的话,一般人,分析不出这个进程有什么问题!
命令行为: "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\dnfxs.dll GetNeedSock
dnfxs.dll 重点来了,这个DLL,应该就是盗号木马了!!他的运行是依靠 rundll32调用运行的!!
把这个文件分析打开 里面也发现两个IP,,
119.147.153.112 183.60.204.122
经过我仔细观察后,又发现一个文件。SqlDataBase.exe这个进程会调用。ClientS62DC66F1.exe 这个文件运行后,会自动删除!
然后 又发现一个BAT,一个IF的语句。。。还有可能存在一个try.exe的文件,可是,我找了很久,没找到!!
dnfxs.dll文件为隐藏文件,用软件打开后,发现的重要信息如下:
- DNFCHINA.EXE CreateProcessA kernel32.dll QQLOGIN.EXE DNF.EXE \zmdll.lst m s w s o c k . d l l WSPStartupC FY 127.0.0 %d.%d.%d dnf.exe \dnfhg.cy 2 ok DNF 0 1 .%d 1122B 1122J Google Map \exp.exe open http://%d.%d.%d.%d:808/HelpUpdate.aspx \dnfinz.cyc % %02X %s%s%s &fs=%d New Game Year %02X%02X%02X%02X%02X%02X %s?zh=%s&mm=%s&fq=%s&dj=%d&jb=%d&ck=%s&ej=%s&bb=1122&bs=%s&mac=%s&bh=%s&nc=%s ydnfm.cys NoPass mm DNFLOS bh %s?zh=%s&mm=%s&fq=%s&ck=%s&ej=%s&bb=1122&bs=%s&mac=%s&bh=%s \UserSetting.ini 未知 LastSelectName ServerSelection " \config\Info.ini LastQQUin Public ? \qqlogc.ini dnflog C Technology %d%d%d.%d%d%d.%d http://%d.%d.%d.%d:808/GetIpInfo.aspx ?act=8 ?act=2 ; \dnfaq.cyc ?act=3 DISPLAY \ s y s d l o g c . x u \ s y s d l o g e . x u i m a g e / j p e g A r i a l %d.%d.%d.%d 已截取! \sysdlogc.xu \sysdloge.xu 地下城与勇士 TenCaptcha.dll memcpy msvcr100.dll ShowCursor user32.dll %s\%s.exe http://%d.%d.%d.%d:818/Kick.aspx ?act=2&id= \ymadset.ini URL CDNF sign fs Sleep %d SleepEx 保护 KiUserCallbackDispatcher ntdll.dll 令牌 有保护 密保卡 安全检查完成 \Tenio\tenbase.dll IsBadWritePtr M y W i n d o w C l a s s % d T C P D N F S W GET HEAD POST CONNECT http:// . %u 127.0.0.1
------------------------------------------------------------------------------------------------------------------------------------------------------------
从易游技术人员收集到的情况显示,只有整合版在10月份发现少量穿透现象,易游的安全小组进行了快速处理,相应的处理方法和补丁如下
http://bbs.stnts.com/thread-151919-1-1.html
|
|
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
