在接收RAR打包文件时,用户不慎点击导致文件损坏。通过详细分析,发现包含多个恶意文件,如守护进程、操作系统服务和记录键盘输入的文件。此木马并未在RAR文件间传播,揭示了软件漏洞和安全隐患。建议更新至WinRAR最新版本以避免类似威胁。
今天,收到网友发来的说明文档(RAR打包),想都没想,就直接点击。谁想,提示文件损坏。第一反应就是,有问题!马上用UE打开此文档,发现文档前几个字节不是Rar。这下,玩完,8成中标了......
随后,在Winnt和System32目录下,分别发现:
f40508bd1021e8d49d838b1e8661de02 a.exe
f40508bd1021e8d49d838b1e8661de02 USERINIS.exe
fdbf55280156a340270374b9b704d4fe SystemSoft.dll
2e847516a6d3*8*15**91ab326c00e0c n.dll (n为数字)
接着,会生成SoftWare.ttf文件,用来记录用户按键。此文件也在System32目录下。
WinRar.exe -> a.exe(system32) -> n.dll(winnt,n为数字,守护进程、操作系统服务) -> SPOOLSV.EXE(services.exe) -> SystemSoft.dll(system32,HOOK WH_CALLWNDPROC、WH_GETMESSAGE,记录键盘)、USERINIS.exe(system32,自启动项) -> SoftWare.ttf(system32,保存记录)
最后,在质问这位网友时,他始终说自己是无辜的。可是,经我在另一台Win 2003下测试。这个木马,并不会传染其它RAR文件!!!嗨,人心啊......(手工清除方法略)
通告名称:WinRAR压缩处理软件漏洞警讯通告
事件类型:软件漏洞
发现时间:2006/09/04
影响平台:WinRAR v3.00 - v3.60beta6
影响等级:高
建议措施:请更新至WinRAR v3.60 正式版
详细说明:http://xforce.iss.net/xforce/xfdb/27815
随后,在Winnt和System32目录下,分别发现:
f40508bd1021e8d49d838b1e8661de02 a.exe
f40508bd1021e8d49d838b1e8661de02 USERINIS.exe
fdbf55280156a340270374b9b704d4fe SystemSoft.dll
2e847516a6d3*8*15**91ab326c00e0c n.dll (n为数字)
接着,会生成SoftWare.ttf文件,用来记录用户按键。此文件也在System32目录下。
WinRar.exe -> a.exe(system32) -> n.dll(winnt,n为数字,守护进程、操作系统服务) -> SPOOLSV.EXE(services.exe) -> SystemSoft.dll(system32,HOOK WH_CALLWNDPROC、WH_GETMESSAGE,记录键盘)、USERINIS.exe(system32,自启动项) -> SoftWare.ttf(system32,保存记录)
最后,在质问这位网友时,他始终说自己是无辜的。可是,经我在另一台Win 2003下测试。这个木马,并不会传染其它RAR文件!!!嗨,人心啊......(手工清除方法略)
通告名称:WinRAR压缩处理软件漏洞警讯通告
事件类型:软件漏洞
发现时间:2006/09/04
影响平台:WinRAR v3.00 - v3.60beta6
影响等级:高
建议措施:请更新至WinRAR v3.60 正式版
详细说明:http://xforce.iss.net/xforce/xfdb/27815
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
