发新帖我要提问
12下一页
返回列表
打印

21IC的Blog系统可能被种木马了

[复制链接]
2617|22
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
chunyang|  楼主 | 2008-5-29 21:44 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
ic, 互联网, 联网
会自动在系统盘根目录下拷贝6123t.exe文件,该文件会访问互联网并拒绝被删除,需要重启动后手工解决,请站方速查解决。

使用特权

评论回复

相关下载

相关帖子
沙发
computer00| | 2008-5-29 22:01 | 只看该作者

啊?没有啊,我的电脑没发现这个文件。

使用特权

评论回复
板凳
chunyang|  楼主 | 2008-5-29 22:24 | 只看该作者

我刚才打开Blog主页,网络防火墙就立刻报警有非授权程序访

    马上分析,就发现了6123t.exe这个文件,该程序很小,且无发行商及版本信息,建立时间正是访问Blog的那一刻,同时我除21IC BBS外未访问其它任何网站,故确定是21IC Blog被种马。然后立刻指令防火墙禁止该程序访问互联网,再打开任务管理器终止该程序的进程。不放心,重启系统,搜索6123t所有相关文件,发现在Windows系统目录里还有一个相关的pf文件和一个Nt_File_Temp目录,一起直接删除。
    刚刚用Google搜了一下,网上已有少量报告,该木马刚刚出现,可以绕开多数病毒防火墙并瘫痪瑞星等一些程序,若非防火墙的报告和我的及时处理,该木马会访问网络并下载真正的病毒体且将病毒体隐藏在Nt_File_Temp目录下的bmp文件中。
    先发此贴,过会分析一下注册表和其它系统文件后如有新发现再通告大家。

使用特权

评论回复
地板
PowerAnts| | 2008-5-29 22:24 | 只看该作者

俺不怕

俺没有Blog

使用特权

评论回复
5
chunyang|  楼主 | 2008-5-29 22:39 | 只看该作者

注册表项中有两个相关键值

一个6123t相关,一个.pf相关,直接删除即可。

使用特权

评论回复
6
程序匠人| | 2008-5-29 22:52 | 只看该作者

站方已经在检查

匠人自己也首当其冲地中招了。幸亏有个“金山独霸”勉强挡了一下。

使用特权

评论回复
7
phoenixmy| | 2008-5-29 23:13 | 只看该作者

我这里卡巴倒是没有报警



谷歌倒是早就报警了,很早就提示blog网页存在风险~~~~~~~~~~

使用特权

评论回复
8
xwj| | 2008-5-29 23:23 | 只看该作者

Blog公共系统被种木马的话,说明21ic的Blog系统又漏洞或服务

被人攻克了

应该仔细检查,而不是一删了之

否则还会被再次种马

使用特权

评论回复
9
computer00| | 2008-5-29 23:37 | 只看该作者

我的还没出现~~~看来我的卡巴还是有点用的拉~~~

或者是我们的服务器有防火墙?

使用特权

评论回复
10
kanprin| | 2008-5-29 23:46 | 只看该作者

说的没错

今天在google搜索的时候,就发现21ic的blog提示含有恶意软件,而且还不让打开了, 还好没强行打开,呵呵。

使用特权

评论回复
11
hotpower| | 2008-5-30 03:46 | 只看该作者

哈哈~~~水潭快成毒潭了~~~继续让它歇菜

使用特权

评论回复
12
testcode| | 2008-5-30 05:01 | 只看该作者

晕,中招了~~~

使用特权

评论回复
13
chunyang|  楼主 | 2008-5-30 15:09 | 只看该作者

树大招风

这应该是某人的故意行为

使用特权

评论回复
14
net_hawk| | 2008-5-31 09:03 | 只看该作者

google报警了。。

google报警了。。我还给21ic打电话了,问题还是没解决BLOG 挂马的问题。

使用特权

评论回复
15
chunyang|  楼主 | 2008-5-31 19:41 | 只看该作者

楼上要进一步清查

    用我前帖说的方法,6123t.exe本身不是病毒,但该木马程序会自动下载病毒体,而该木马程序本身目前尚未见到有防病毒程序对之免疫,只是可以对付其下载的病毒,但根本问题必须解决。
    

使用特权

评论回复
16
awey| | 2008-5-31 20:16 | 只看该作者

难怪今天点chunyang的Blog出现报警

现在还在,就是下面这个:

使用特权

评论回复
17
awey| | 2008-5-31 20:21 | 只看该作者

看来瑞星还是不错的

使用特权

评论回复
18
xyarm| | 2008-6-1 23:10 | 只看该作者

危险啊

使用特权

评论回复
19
xwj| | 2008-6-1 23:17 | 只看该作者

怎么没人打他们的电话呢???

都休假去了吗?

使用特权

评论回复
20
computer00| | 2008-6-1 23:30 | 只看该作者

我的电脑依然没有出现中毒迹象,是否跟重启有关?

这几天都没有重启过……

使用特权

评论回复
下一页 »
12下一页
返回列表
发新帖 我要提问
高级模式
B Color Image Link Quote Code 收费 Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

chunyang

170

主题

44289

帖子

1498

粉丝