dragoo1的专栏

又中毒了。。。症状：开机一个Coilk.exe,运行msconfig之后，发现C:\Program Files\Cffe\Coilk.exe随机启动，不知道什么进程，打开ie，360监控到木马行为(木马居然20m内存...)原因：1.8装了boundscheck,有病毒，病毒原网址：http://www.3ddown.com/soft/31594.htm分析：文件细

跟了一天，下班。参考：http://cn.bing.com/search?q=dBat1&pc=MOZI&first=59&FORM=POREhttp://bbs.360.cn/4071464/33422383.htmlhttp://hi.baidu.com/hunxiaoshimo/item/e4c4797889a90015d1dcb32chttp://zhidao.

使用spy对木马进程监视，发现不停地WM_TIMER消息,估计木马使用定时器监控ie的启动情况木马使用delphi编写.先使用ollydbg反编译Coilk.exe,发现代码中有{985483CD-DCDE-4817-AF35-F17411836625}google,发现是Trojan-Banker病毒代码中有TInterfacedObject，baidu,发现是delhpi类