Sogi! 手机王首页也被植入木马 !! -->
Roger | 01 Nov, 2006 16:42
95年10月29日手机王首页也被植入木马(Lineage)，分析了一下，结果如下：
1. 首页被植入 iframe：
http://w.... myemage .com/V20/Daren/images/img.html
2. img.html 是一个 VBScript，它会下载或执行 2.exe
3. 执行之后，系统产生：
[DLL Injection]
C:/Documents and Settings/Administrator/Local Settings/Temp/svchost.exe 注入某些执行程序 (如svchost.exe)。
C:/WINDOWS/system32/gfile.dll 注入某些执行程序 (如explorer.exe)。
[Drop Files]
C:/Documents and Settings/Administrator/Local Settings/Temp/svchost.exe
C:/WINDOWS/system32/gfile.dll
C:/WINDOWS/system32/goodfile.exe
[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}–C:/WINDOWS/system32/gfile.dll
[Added Registries]
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}