1217 Trojan/Hitpop myplay.pif

1217 Trojan/Hitpop

1215 sysy scrsys webhit GrayPigeon_Hacker (2007-5-18)
http://www.yippeesoft.com/blog/p/1215sysyscrsyswebhitGrayPigeon_Hacker.php

[hitpop]
test=0
first=1
ver=061126
kv=0
[exe]
fn=D:\\WINDOWS\\system32\\AlxRes061126.exe
[exe_bak]
fn=D:\\WINDOWS\\system32\\scrsys061126.scr
[dll_hitpop]
fn=D:\\WINDOWS\\system32\\winsys32_061126.dll
[dll_start_bak]
fn=D:\\WINDOWS\\system32\\scrsys16_061126.scr
[dll_start]
fn=D:\\WINDOWS\\system32\\winsys16_061126.dll

天涯虚拟社区网22日带毒 江民发布技术分析报告 
 
文章作者：江民科技  来源：null  发布时间：2006-11-23  发布单位：江民科技  阅读次数：71
2006年11月22日，江民公司反病毒公司监测到，天涯虚拟社区网站（http://www.tianya.cn）首页带毒。如果用户没有安装过微软的MS06-014安全补丁，在使用IE浏览器访问该网页时，就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页，制造虚假流量，并会关闭多款杀毒软件和防火墙。

   23日，天涯首页上的恶意代码已经被删除。江民公司提醒广大网民，特别是天涯社区用户，请立即更新杀毒软件的病毒库，对您的系统进行全面扫描。

   具体技术分析报告如下：

1、天涯社区首页（http://www.tianya.cn/default.asp）中被嵌入了一条恶意代码，引用位于http://www.jlinside.com上面的恶意脚本（http://www.jlinside.com/MediaPlayer.js）。后者以隐藏方式打开恶意网页http://www.**78.cn/inc/ad.html。ad.html利用微软的MS06-014漏洞，尝试下载并执行木马程序http://www.**78.cn/inc/op.exe。

2、op.exe运行后，将创建下列文件：
%SystemDir%\\alxres061120.exe, 110377字节
%SystemDir%\\scrsys061120.scr, 110377字节
%SystemDir%\\scrsys16_061120.scr, 24576字节
%SystemDir%\\winsys16_061120.dll, 24576字节
%SystemDir%\\winsys32_061120.dll, 175104字节
D:\\myplay.pif
%WinDir%\\winsys.ini, 340字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
Userinit = %SystemDir%\\userinit.exe,rundll32.exe c:\\windows\\system32\\winsys16_061120.dll start
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor]
AutoRun = ,d:\\myplay.pif
这样，在Windows启动时，病毒就可以自动执行。

3、木马尝试结束多款流行杀毒软件和防火墙，并在后台隐藏启动IE进程，访问http://www.dosboy.com和http://www.selang.com等网站上的页面。

   针对上述病毒，KV用户请升级到11月23日病毒库，即可全面查杀。江民公司再次提醒广大用户，上网浏览时一定要开启杀毒软件的实时监控功能，并要及时升级病毒库、安装微软的安全更新，以免受到病毒侵害。
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor]
"AutoRun"="d:\\\\myplay.pif"
"CompletionChar"=dword:00000040
"DefaultColor"=dword:00000000
"EnableExtensions"=dword:00000001
"PathCompletionChar"=dword:00000040

运行(双击)SRENG2，点“启动项目，服务，点“Win32服务应用程序”
勾选“隐藏微软服务”选中病毒服务
B3DC573F
，选择“删除服务”
点“设置”选择“否”
运行SREng2,使用“启动项目”－－注册表－－删除
C:\\WINNT\\security\\logs\\nifoctp.dll
重启按F８进入安全模式下
显示隐藏文件
删除：
C:\\WINNT\\system32\\B3DC573F.EXE
C:\\WINNT\\security\\logs\\nifoctp.dll
删除D盘根目录,隐藏文件,右键打开,不要双击
Autorun.inf
myplay.pif

历史博文

• 20080922 xpe hide mouse - 2009
• 20070816 v bscript securecrt xmodem 128 - 2008
• 0217 宛如阿修罗 常无常 - 2006
• 4难道真的不吉利 - 2005