马上分析,就发现了6123t.exe这个文件,该程序很小,且无发行商及版本信息,建立时间正是访问Blog的那一刻,同时我除21IC BBS外未访问其它任何网站,故确定是21IC Blog被种马。然后立刻指令防火墙禁止该程序访问互联网,再打开任务管理器终止该程序的进程。不放心,重启系统,搜索6123t所有相关文件,发现在Windows系统目录里还有一个相关的pf文件和一个Nt_File_Temp目录,一起直接删除。
刚刚用Google搜了一下,网上已有少量报告,该木马刚刚出现,可以绕开多数病毒防火墙并瘫痪瑞星等一些程序,若非防火墙的报告和我的及时处理,该木马会访问网络并下载真正的病毒体且将病毒体隐藏在Nt_File_Temp目录下的bmp文件中。
先发此贴,过会分析一下注册表和其它系统文件后如有新发现再通告大家。
|
楼主
