帶來Shell.CMruPidlList和_SHuassist.mtx的郵件
發生什麼事?
這些年,收到垃圾郵件、釣魚郵件都見怪不怪,反正hotmail、gmail會幫我過濾那些郵件。但如果是好朋友們的信就無法第一時間過濾掉,因此某些msn的內含惡意聯結的郵件仍持續散佈。
今天我收到的惡意郵件沒有主旨,只有寄件人和收件人,內容只有一行
http://cr.site-sales.biz/blog/不要點喔wp-content/plugins/zaieccpauio/google.html?otv=fgfh.psml&ygu=onnm.hkml&gwyj=tjbm
怎麼發生?
請不要好奇點上面的聯結,除非你在虛擬機器中。我來說明點了以後會發生甚麼事。
1.跳轉到 http://www.foxnews.com.不要點喔happyhcgultracustomers.new.enwb21.com
2.連線到 194.15.114.5 。
3.創造 iexplore.exe 的 process。
4.修改註冊表
4.1關閉IE的proxy
4.2修改資料夾的設定
4.3允許遠端修改proxy設定
5.建立檔案 Shell.CMruPidlList 和 _SHuassist.mtx
最後你中了木馬,來自Anubis.iseclab.org 的詳細報告請看 這裡。
這些年,收到垃圾郵件、釣魚郵件都見怪不怪,反正hotmail、gmail會幫我過濾那些郵件。但如果是好朋友們的信就無法第一時間過濾掉,因此某些msn的內含惡意聯結的郵件仍持續散佈。
今天我收到的惡意郵件沒有主旨,只有寄件人和收件人,內容只有一行
http://cr.site-sales.biz/blog/不要點喔wp-content/plugins/zaieccpauio/google.html?otv=fgfh.psml&ygu=onnm.hkml&gwyj=tjbm
怎麼發生?
請不要好奇點上面的聯結,除非你在虛擬機器中。我來說明點了以後會發生甚麼事。
1.跳轉到 http://www.foxnews.com.不要點喔happyhcgultracustomers.new.enwb21.com
2.連線到 194.15.114.5 。
3.創造 iexplore.exe 的 process。
4.修改註冊表
4.1關閉IE的proxy
HKLM\SYSTEM\CURRENTCONTROLSET\HARDWARE PROFILES\CURRENT\Software\Microsoft\windows\CurrentVersion\Internet Settings  | ProxyEnable | 0 |
4.2修改資料夾的設定
| HKU\S-1-5-21-842925246-1425521274-308236825-500\SOFTWARE\MICROSOFT\WINDOWS\SHELLNOROAM\\BagMRU | MRUListEx | 0x020000000100000000000000ffffffff |
4.3允許遠端修改proxy設定
| HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\windows\CurrentVersion\Internet Settings | MigrateProxy | 1 |
5.建立檔案 Shell.CMruPidlList 和 _SHuassist.mtx
最後你中了木馬,來自Anubis.iseclab.org 的詳細報告請看 這裡。
怎麼解決問題?
我 google了一些 方法 包含幾個步驟,但是效果尚未證實。
1.關閉所有IE瀏覽器、資料夾。
2.關閉工作管理員中所有的 iexplore.exe 。
3.刪除
Shell.CMruPidlList 和 _SHuassist.mtx 。
4.修復註冊表。
因為移除方法似乎不是很完備,等待我實驗過後再回報。
因為移除方法似乎不是很完備,等待我實驗過後再回報。
留言
張貼留言