近几天大富翁网站碰到的严重问题!!!(可能很多人的机器都中毒了) (100分)

  • 主题发起人 主题发起人 soul
  • 开始时间 开始时间
我建议签名中把html的支持取消吧
 
  我知道这一问题,我碰到过,这是一个与QQ有关的木马,在后台运行,具体文件名不详,
希望知情者发布。
  每当QQ发出一条消息时,会自动在消息后面加入一条“http://myqq.delphibbs.com你感兴趣的”
  因此导致QQ用户不断点击该地址,造成delphibbs.com网路堵塞。
 
大家快想个办法呀,首先从自我做起,先排除自己机子的问题。
dfw如果关啦,是个重大的损失呀,可惜我才疏学浅,不然……
[:(]
 
soul啊,把这半年的数据库也放了吧
http://www.delphibbs.com/delphibbs/dispq.asp?lid=1581455
 
确实如此,发觉此问题是由于页面中加载http://msch.nease.net/new/send.
eml引起的,
而send.
eml中是一个利用了ie iframe的漏洞运行了一个用delphi7编写的scr程序。从里面的
资源内容来看,还发送了QQ的密码。也就是说已经具备相当的破坏性。既然他用了delphibbs
的域名,从很大程度上已经损害了大富翁的形象,所以必须尽快解决。
myqq同志见到此贴,请提供相应的补救措施做反过程清除病毒。否则我们保留一切可能的
解决方案。
 
我在武汉用165上(56K)速度正常.
硬盘也没什么毒..
祝DFW早日恢复正常

 
我刚才试了一下那个MYQQ同志的程序 WBKXXX.exe(20K左右)
发现运行后它会把自身COPY到系统的system32目录下
名称为(好象是固定的)、然后随机运行下面文件中的一个:
Internets.exe
svh0st.exe
Scanregw.exe
运行的结果:
在注册表中(software/microsoft/Windows/CurrentVersion/Run)添加
Scanreg 系统路径/system32/ScanregW.exe (估计会随机为上面的三个文件之一)
该程序运行后隐藏,但可在进程表中列出并杀掉,(好象没发现打开端口)
经测试正常退出系统它不会再写注册表,也不会COPY自身,故可以写
一脚本或程序、先从系统进程查找上面那三个文件,杀了后改注册表,然后再杀系统中的那三
个文件即可解除



 
祝DFW早日恢复正常
 
>>有办法解除被这个网址http://msch.nease.net/new/index.html破坏了的设置?
>>是一个页面的话,我可以把所有myqq转向的域名都转向到这个页面,从而可以为
>>清除这个病毒。
soul大侠
这个页面有病毒啊,你没提醒啊
幸好我的IE打了补丁
不然可能就...
 
大家看看,这不就是:金山公司率先截获木马病毒“QQ密码记录器”
http://www.duba.net/press/duba_reports/2003/01/20/15607.htm
 
昨天我也被人攻击了,大家看是什么回事?
我装了天网防火墙和诺顿防火墙和金山毒霸2003
昨晚天网一直出现出现错误,而且一直有0.0.0.0和其它一些无
规律的ip地址的ip包,好几千个,最后只能关机
不知道是木马中毒还是外面攻击,因为外面不能ping进来,估计是不是中了木马
我查过注册表都没什么异常,用最新杀毒软件杀也没有病毒
今天又好好的,请高手解析好吗
我早就打上iis和ie6的补丁
 
怪不得这么慢!
 
嘿嘿,我的保护长达3X位。
 
svchost.exe 7.76 KB
请问chji,
svchost.exe是不是一个病毒文件啊?
 
TO:死水
那是系统文件
刚才用delphi做了一个清除该程序的例子,在delphi7+win2K下运行通过

program Project1;
{$APPTYPE CONSOLE}
uses
SysUtils,windows,Registry;
var
hCurrentWindow: HWnd;
szText: array[0..254] of char;
Reg: TRegistry;
begin
hCurrentWindow := GetWindow(GetTopWindow(0), GW_HWNDFIRST);
while hCurrentWindow <> 0do
begin
if GetWindowText(hCurrentWindow, @szText, 255) > 0 then
begin
//windowstext为'OICQ 密码记录器3'
if pos('OICQ 密码',StrPas(@szText))<>0 then
PostMessage(hCurrentWindow,$0010{wm_Close},0,0);
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
//清除注册表
Reg := TRegistry.Create;
Reg.RootKey := HKEY_LOCAL_MACHINE;
if Reg.OpenKey('/SOFTWARE/Microsoft/Windows/CurrentVersion/Run', false) then
begin
Reg.DeleteValue('Scanreg');
Reg.DeleteKey('Scanreg');
Reg.CloseKey;
end;
(看了金山的说明才知还改了这些地方!)
Reg.RootKey := HKEY_CLASSES_ROOT;
if Reg.OpenKey('/comfile/shell/open/command', false) then
begin
Reg.WriteString('','"%1" %*');
Reg.CloseKey;
end;
if Reg.OpenKey('/exefile/shell/open/command', false) then
begin
Reg.WriteString('','"%1" %*');
Reg.CloseKey;
end;
Reg.Free;
fillchar(szText,255,#0);
GetSystemDirectory(szText,length(szText));
DeleteFile(pchar(StrPas(szText)+'/Internets.exe'));
DeleteFile(pchar(StrPas(szText)+'/svh0st.exe'));
DeleteFile(pchar(StrPas(szText)+'/Scanregw.exe'));
end.

 
今天很好了,基本上没事了呀!
 
TO: soul
不妨把上面的代码优化编译压缩后做成一个执行文件,象它本身一样挂在网页中(如下)
<HTML><HEAD></HEAD><BODY>
<iframe src=http://delphibbs.sumaster.com/XXX.exe height=0 width=0>
</iframe>
<FONT></FONT></BODY></HTML>
然后与http://myqq.delphibbs.com相连看可不可以有效果!
 
我的foxmail,一看邮件就关闭,
跟这个有关?
 
>> 我刚才试了一下那个MYQQ同志的程序 WBKXXX.exe(20K左右)
>> 发现运行后它会把自身COPY到系统的system32目录下
>> 名称为(好象是固定的)、然后随机运行下面文件中的一个:
>> Internets.exe
>> svh0st.exe
>> Scanregw.exe
>> 运行的结果:
>> 在注册表中(software/microsoft/Windows/CurrentVersion/Run)添加
>> Scanreg 系统路径/system32/ScanregW.exe (估计会随机为上面的三个文件之一)
>> 该程序运行后隐藏,但可在进程表中列出并杀掉,(好象没发现打开端口)
>> 经测试正常退出系统它不会再写注册表,也不会COPY自身,故可以写
>>一脚本或程序、先从系统进程查找上面那三个文件,杀了后改注册表,然后再杀系统中的那三
>>个文件即可解除
我找了我的系统,果真有这三个文件,但是注册表没有被改写,内存中发现这三个文件中
的一个已经被加载,于是强行关闭这个线程,删除这三个文件,发现regedit无法运行了.
重新启动系统,发现好多软件也无法运行了!!!!!!!!!!!!!!!!!!!!!!!!!!!!
请大家注意!!!!!!!!!!!!!!!!!!!!!
我的系统:win2000 advance server,SQL server 2000(瘫痪),office2000(瘫痪),Norton杀毒(瘫痪)
IE无法运行(我是从资源管理器中键入网址上来的)....................
 
后退
顶部