易游平台发现最新穿透病毒 2012.11.27 不知道这个病毒,会不会穿到各大游戏平台!
转载请注明出自华夏网盟http://www.hxwglm.com易游平台发现最新穿透病毒 2012.11.27 不知道这个病毒,会不会穿到各大游戏平台!
易游防火墙打开
SDP已经升级到最近发布的最新版本!
此类病毒,和顺网被穿的病毒代码,病毒写法,运行方式,都基本吻合.,,应该是同一伙人,只是这次穿透,隐藏得更深,文件存放位置更牛B。。
建议各位,尽快使用华夏网盟病毒检测工具,在使用的,请尽快升级到最新版本!
检测工具下载地址:如下:
http://www.hxwglm.com/thread-3879-1-1.html
临时解决方案,仅供参考!
1.不管顺网用户,易游用户,各大平台,都请使用最新版的华夏网盟病毒检测工具!
检测工具下载地址:如下:
http://www.hxwglm.com/thread-3879-1-1.html
2.封掉三个IP : 119.147.153.112 183.60.204.122 219.138.163.58
3.禁止进程:SqlDataBase.exe
需要dnfxs.dll SqlDataBase.exe ClientS62DC66F1.exe(会自动删除,有可能很重要)两个文件的,请直接联系本人不离不弃: qq 455289757 虽然这几个文件,可能不是穿透文件,但是希望也能帮到一些忙!嘻嘻!
今天有个网吧老板打电话来说,WOW帐号被盗,我到网吧的时候,开盗号的那台机,一开始我还不相信,用安全软件扫描了一次,也没有发现任何病毒,后面我打开进程,一看,这病毒作者应该有点粗心,进程忘加隐藏了,,,无意中让我发现了 SqlDataBase.exe 路径为"C:\System Volume Information\SqlDataBase.exe"这个目录,在系统下是打开是,是无文件的,我用安全软件扫描,也是扫不出病毒的。 我进入DOS,进入C:\System Volume Information\SqlDataBase.exe把文件copy了出来。。需要这个文件的,联系我本人 :qq 455289757 然后 我用UE打开这个文件, 发现里面有句话。。 http://219.138.163.58:800/count/count.asp 打开这个网站,没有任何可用信息。。。这个文件
继续分析SqlDataBase.exe 这个文件。。
发现有winsta0\default exploer.exe 修改hosts等c:\windows\system32\drivers\etc\hosts 127.0.0.1 %08x.%s A..........等!
然后 我运行魔兽世界,地下城, 在这个过程中,又发现了一个重大进程!
rundll32.exe 然后 我看到这个文件,看它的命令行,如果不是分析命令行的话,一般人,分析不出这个进程有什么问题!
命令行为:"C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\dnfxs.dll GetNeedSock
dnfxs.dll 重点来了,这个DLL,应该就是盗号木马了!!他的运行是依靠 rundll32调用运行的!!
把这个文件分析打开里面也发现两个IP,,
119.147.153.112 183.60.204.122
经过我仔细观察后,又发现一个文件。SqlDataBase.exe这个进程会调用。ClientS62DC66F1.exe这个文件运行后,会自动删除!
然后 又发现一个BAT,一个IF的语句。。。还有可能存在一个try.exe的文件,可是,我找了很久,没找到!!
dnfxs.dll文件为隐藏文件,用软件打开后,发现的重要信息如下:
DNFCHINA.EXE CreateProcessAkernel32.dll QQLOGIN.EXE DNF.EXE \zmdll.lstm s w s o c k . d l l WSPStartupCFY 127.0.0 %d.%d.%d dnf.exe \dnfhg.cy 2 okDNF 0 1 .%d 1122B 1122J Google Map\exp.exe open http://%d.%d.%d.%d:808/HelpUpdate.aspx\dnfinz.cyc % %02X %s%s%s&fs=%dNew Game Year %02X%02X%02X%02X%02X%02X %s?zh=%s&mm=%s&fq=%s&dj=%d&jb=%d&ck=%s&ej=%s&bb=1122&bs=%s&mac=%s&bh=%s&nc=%s ydnfm.cysNoPassmmDNFLOSbh%s?zh=%s&mm=%s&fq=%s&ck=%s&ej=%s&bb=1122&bs=%s&mac=%s&bh=%s \UserSetting.ini 未知 LastSelectNameServerSelection " \config\Info.ini LastQQUin Public? \qqlogc.ini dnflogC Technology %d%d%d.%d%d%d.%d http://%d.%d.%d.%d:808/GetIpInfo.aspx ?act=8?act=2; \dnfaq.cyc?act=3DISPLAY \ s y s d l o g c . x u \ s y s d l o g e . x u i m a g e / j p e g A r i a l %d.%d.%d.%d 已截取! \sysdlogc.xu \sysdloge.xu 地下城与勇士 TenCaptcha.dllmemcpymsvcr100.dll ShowCursoruser32.dll%s\%s.exe http://%d.%d.%d.%d:818/Kick.aspx ?act=2&id=\ymadset.ini URL CDNF sign fsSleep %d SleepEx 保护 KiUserCallbackDispatcher ntdll.dll 令牌 有保护密保卡安全检查完成 \Tenio\tenbase.dllIsBadWritePtr M y W i n d o w C l a s s % d T C P D N F S W GET HEAD POST CONNECT http:// . %u127.0.0.1 转载请注明出自华夏网盟http://www.hxwglm.com
------------------------------------------------------------------------------------------------------------------------------------------------------------
从易游技术人员收集到的情况显示,只有整合版在10月份发现少量穿透现象,易游的安全小组进行了快速处理,相应的处理方法和补丁如下
http://bbs.stnts.com/thread-151919-1-1.html
不顶不行啊{:soso_e113:} 顶起,很给力! 顶一下,很不错 顶起 超给力!!!!!! 的确非常牛人 分析清晰透彻 受益了{:soso_e179:} 分析的那么入迷支持了 绝世好贴:) 顶起,很给力 收场中.........
页:
[1]
2