遭遇www.6781.com劫持浏览器和Worm.Snake.a等

Posted 紫郢剑侠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了遭遇www.6781.com劫持浏览器和Worm.Snake.a等相关的知识,希望对你有一定的参考价值。

endurer 原创

2006-11-30 第1

一位网友的电脑,IE浏览器首页被强制设置为www.6781.com,让偶帮忙检修。

http://endurer.ys168.com 下载 HijackThis  和 ProcView。

在用 HijackThis 扫描 log,生成启动项列表,用 ProcView 导出的系统进程列表,传回来。

在 HijackThis 扫描的 log发现如下可疑项:
/-------
Logfile of HijackThis v1.99.1
Scan saved at 17:58:56, on 2006-11-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/Program Files/Common Files/System/Update.exe

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - G:/WINDOWS/system32/SCIntruder.dll

O4 - HKLM/../Run: [System] G:/Program Files/Common Files/System/Update.exe
O4 - HKLM/../Run: [RavAV] G:/WINDOWS/RavMonE.exe

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
-------/

在 ProcView 导出的系统进程列表中发现下列可疑项目:
/-------
Windows XP (5.1.2600 Service Pack 2)
2006-11-30 18:32:15进程列表
G:/WINDOWS/System32/svchost.exe
   g:/windows/system32/vpgqhi34.dll

G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
   G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
   G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
G:/WINDOWS/RavMonE.exe
   G:/WINDOWS/RavMonE.exe
-------/


在 HijackThis 生成的启动项列表中发现如下可疑服务:
/-------
StartupList report, 2006-11-30, 18:39:57
StartupList version: 1.52.2
Started from : G:/tools/HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Enumerating Windows NT/2000/XP services
00: /SystemRoot/System32/drivers/8590312.sys (system)
108375: System32/drivers/108375.sys (system)
63090: System32/drivers/63090.sys (system)
a0: /SystemRoot/System32/drivers/108375.sys (system)
paraudio: /??/G:/WINDOWS/system32/drivers/paraudio.sys (autostart)
Network IPSEC Connections: G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL,Export 1087 (autostart)
<endurer注:Windows系统有个内置服务:IPSEC Services: %SystemRoot%/system32/lsass.exe (autostart),不要弄混了>
-------/

用 ProcView 把
/-------
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/RavMonE.exe
-------/
把包传回来后终止它们。忘记把
/-------
g:/windows/system32/vpgqhi34.dll
G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
-------/
打包了,汗!

刚用WinRAR找到
/-------
G:/Documents and Settings/user/Local Settings/Temp/jh.exe
G:/Program Files/Common Files/System/Update.exe
G:/WINDOWS/RavMonE.exe
-------/
打包传回来,网友就下班了。

RavMonE.exe 采用Microsoft Visual C++ 7.0 Method2开发。
/----------
修改时间 : 2001-8-4 1:1:48
大小 : 3515723 字节 3.361 MB
MD5 : 3efdfddfffe5cf4ad40c5368c336a702
----------/
Kaspersky 报为 Worm.Win32.RJump.a,瑞星报为 Worm.Snake.a

SCIntruder.dll 采用nSPack 1.3 -> North Star/Liu Xing Ping加壳。
/----------
修改时间 : 2006-11-17 17:30:34
大小 : 104960 字节 102.512 KB
MD5 : d3c0bbe879ed2acf5a4d519e7121da91
----------/
Kaspersky 报为 not-a-virus:AdWare.Win32.NewWeb.e,瑞星报为 Trojan.Spy.Neweb.b

Update.exe
/----------
修改时间 : 2004-8-4 0:52:20
大小 : 143360 字节 140.0 KB
MD5 : 136e4dceb6d327b337fa44affb376953
----------/
Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.od,瑞星报为 Trojan.DL.QQHelper.eoq

rundllfromwin2000.exe 采用Microsoft CAB SFX module加壳。
/----------
语言 : 中文(中国)
文件版本 : 5.00.2134.1
说明 : Run a DLL as an App
版权 : Copyright (C) Microsoft Corp. 1981-1999
备注 :
产品版本 : 5.00.2134.1
产品名称 : Microsoft(R) Windows (R) 2000 Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rundll
源文件名 : RUNDLL.EXE
修改时间 : 2004-8-4 0:52:20
大小 : 10240 字节 10.0 KB
MD5 : 4936a6954ed59700a3c706f9094685ee
----------/


jh.exe 采用Microsoft Visual Basic 5.0 / 6.0开发
/----------
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : JH
公司名称 :
合法商标 :
内部名称 : jh
源文件名 : jh.exe
创建时间 : 2006-11-30 22:25:28
修改时间 : 2006-8-16 11:16:2
访问时间 : 2006-11-30 22:26:51
大小 : 49152 字节 48.0 KB
MD5 : b3975e60b7db0df8f334f29d62d01605
----------/ 

以上是关于遭遇www.6781.com劫持浏览器和Worm.Snake.a等的主要内容,如果未能解决你的问题,请参考以下文章

安全事故:Kubernetes遭遇大范围劫持

HTTPS 相关原理浅析

http被劫持了怎么办?安装Sectigo的ssl证书可以吗?

转:前段安全之XSS攻击

浅析DNS劫持及应对方案

前端安全系列之如何防止 XSS 攻击?