中国博客网www.blogcn.com被挂盗号木马及维金蠕虫NewInfo.dll NewInfo.bak msmsgs.exe IDrivers.pif

查看文章

2007-04-01 23:52

晚上狮子报料：中国博客网www.blogcn.com似乎有毒:-(

中国博客网 www.blogcn.com 被挂盗号木马及维金help.exe 1cxxxx.exe NewInfo.dll NewInfo.bak msmsgs.exe IDrivers.pif

利用ANI漏洞下载
hxxp://www.i5460.net/admin12/help.exe
hxxp://cool.47555.com/1cxxxx.exe

1、盗号木马

C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bak

CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

2、维金蠕虫

code by xiaohui
Setup.exe
c:\Deleteme.bat
msmsgs.exe

SOFTWARE\Microsoft\Active Setup\Installed Components\{2bf41073-b2b1-21c1-b5c1-0701f4155588}
StubPath --->C:\Program Files\Web Publish\IDrivers.pif
下载：
hxxp://cool.47555.com/ccc/12.exe
hxxp://cool.47555.com/ccc/8-1a.exe
hxxp://cool.47555.com/ccc/mh.exe
hxxp://cool.47555.com/ccc/wmgj.exe
hxxp://cool.47555.com/ccc/wl.exe
hxxp://cool.47555.com/ccc/fy.exe
hxxp://cool.47555.com/ccc/1.exe
hxxp://cool.47555.com/ccc/2.exe
hxxp://cool.47555.com/ccc/3.exe
hxxp://cool.47555.com/up.asp
为C:\Program Files\Web Publish\temp[1].exe~temp[10].exe

Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
%programfiles%\Internet Explorer\IEXPLORE.EXE
Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE
%programfiles%\Messenger\msmsgs.exe
Software\Microsoft\Windows\CurrentVersion\App Paths\wmplayer.EXE
%programfiles%\Windows Media Player\wmplayer.EXE
SOFTWARE\TENCENT\PLATFORM_TYPE_LIST\1
TypePath-->%programfiles%\TENCENT\QQ.exe

非官方ANI补丁下载：http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe

http://killvir.hits.io/tools/PatchAni.zip

屏蔽 cool.47555.com 吧

类别：被黑站点 | 添加到搜藏 | 浏览() | 评论 (15)

最近读者：

网友评论：

2007-04-02 08:31 | 回复

百度好像还没有被挂过？ :)

2007-04-02 09:56 | 回复

汗，楼上的什么心里。呵。

2007-04-02 14:50 | 回复

我就是用BLOGCN啊，幸好没有中。。

2007-04-03 10:31 | 回复

本人中招……谢谢搂主提供资讯，症状几乎完全一样，而且在下也是全天挂blogcn的主……

2007-04-03 22:46 | 回复

哭泣。。我重装了两次系统才发现是blogcn有病毒。。

2007-04-04 13:29 | 回复

同样发现，谢谢LZ提醒，一样是重装了机子才发现问题的

2007-04-07 21:33 | 回复

也中了idrivers.pif这个了。请问下载的那些hxxp://cool.47555.com的东西都干啥了？还有 Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE %programfiles%\Internet Explorer\IEXPLORE.EXE Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE %programfiles%\Messenger\msmsgs.exe Software\Microsoft\Windows\CurrentVersion\App Paths\wmplayer.EXE %programfiles%\Windows Media Player\wmplayer.EXE SOFTWARE\TENCENT\PLATFORM_TYPE_LIST\1 TypePath-->%programfiles%\TENCENT\QQ.exe 是不是这些文件被替换了？

2007-04-16 08:34 | 回复

多谢了，我就是因为有这个漏洞才连中了两个木马，一个NewInfo.dll 一个IDrivers.pif

2007-10-20 16:35 | 回复

我想盗一个梦幻西游130级的号。

2008-02-10 18:24 | 回复

我要盗一个好QQ号

2008-03-29 16:48 | 回复

我想盗一个问道123级的号

2008-05-10 14:17 | 回复

我想盗号

2008-05-16 21:39 | 回复

wwe

2008-06-08 03:05 | 回复

laji

2009-02-16 19:38 | 回复

回复李力：

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复