引子：从3721的年代开始，业内就把3721网络实名这个垃圾软件定性为流氓。没多久，3721的始作俑者又开发了一个叫360的安全软件，榜着免费杀毒软件旗帜到处坑蒙拐骗。于是，不知道多少无知的网名被360这个所谓的“专业杀毒软件”所蒙骗！

没有技术，不要紧，俺360有的是钱做广告，有的是吹牛的本事。21世纪最缺的是什么？吹牛！只要能吹，什么就都有了！

呵呵，我就小写一个引子，客官好文呈上，请看好了

本文转自：http://bbs.duba.net/thread-22114165-1-1.html

     

360大佬在江湖上叱咤风云无人可敌，如今惊闻与金山毒霸这个安全行业公认老好人打起来了，小弟实在是看不下去了，金山毒霸也算是一个比较安分的厂商了，宣传少，也少做作，今天被人踩了尾巴，没理由继续安分吧，那不就太懦弱了吗？

事件就不赘述了给俩链接自己看吧

金山：关于360浏览器阻止金山网盾正常保护用户上网安全的声明
http://news.duba.net/contents/2009-11/20/9016.html

360：金山网盾重大错误致360安全浏览器异常
http://bbs.360.cn/4000002/31868083.html?recommend=1

众所周知，360的粉丝多，枪手也多。
奋战到底，金山毒霸的粉丝们，坚守阵地，顶多也就两败俱伤而已~~~

举例说明360种种流氓行为：
占用系统资源巨大

       360，我不知道还装着你有什么用，软件主界面上的广告实在太碍眼了。那么多软件厂商与你合作给的分成还不够多么？唉。罢了！所以，我把360卸载了，省点系统资源。套用卡饭的一张图片能够很好的表达你究竟吃掉了我们多少资源！

绿坝,估计这是最近搜索率比较高的一个词了.

不知道工信部相关人员这几天过的如何,反正外面是骂声一片了.

绿坝-花季护航这个软件已经被广大网友证明是一个不折不扣的山寨软件了.不止山寨,还不要脸的抄袭老美一个同类软件的功能,盗用别人的技术,还使用一些未经授权的技术....

以下引用片密歇根大学对于此软件安全性的分析:(由某兄弟翻译)

原文地址:http://www.cse.umich.edu/~jhalderm/pub/gd/

Summary
　　We have discovered remotely-exploitable vulnerabilities in Green Dam, the censorship software reportedly mandated by the Chinese government. Any web site a Green Dam user visits can take control of the PC.
　　
　　我们已经发现了绿坝系统（绿坝系统据报道是一款由中国政府授权委托的检查软件）在远程控制方面的安全漏洞，任何绿坝用户访问的网站都可以轻易控制用户的PC机。
　　
　　According to press reports, China will soon require all PCs sold in the country to include Green Dam. This software monitors web sites visited and other activity on the computer and blocks adult content as well as politically sensitive material.
　　根据新闻报道，中国将很快在所有境内销售的PC机中预装一款名为绿坝的软件。该软件用以监控人们对互联网的访问以及其他相关活动（笔者注：包括聊天软件、网络游戏软件等等），并且用来屏蔽成人内容和政治敏感信息。
　　
　　We examined the Green Dam software and found that it contains serious security vulnerabilities due to programming errors. Once Green Dam is installed, any web site the user visits can exploit these problems to take control of the computer. This could allow malicious sites to steal private data, send spam, or enlist the computer in a botnet. In addition, we found vulnerabilities in the way Green Dam processes blacklist updates that could allow the software makers or others to install malicious code during the update process.
　　
　　我们对绿坝软件进行了检测并且发现它因为自身存在编程错误，包含了十分严重的安全漏洞。一旦绿坝系统被运行，任何绿坝用户登录的网站都可以发现利用这些错误轻易的控制用户的电脑。这个包括了让恶意站点窃取个人信息，传播垃圾邮件或者将电脑列入僵尸网络的名单当中。（笔者猪：僵尸网络被认为是规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。其主要威胁包括：攻击DDOS系统，发布垃圾邮件，监听客户敏感内容，记录键盘输入信息，散播新的恶意软件，伪造点击量，骗取奖金或操控网上投票和游戏）另外，我们发现在运行中的一个薄弱点是绿坝系统更新黑名单环节中可以允许软件制造者或者其他人安装恶意密码。
　　
　　We found these problems with less than 12 hours of testing, and we believe they may be only the tip of the iceberg. Green Dam makes frequent use of unsafe and outdated programming practices that likely introduce numerous other vulnerabilities. Correcting these problems will require extensive changes to the software and careful retesting. In the meantime, we recommend that users protect themselves by uninstalling Green Dam immediately.
　　
　　我们在不到12个小时的检测中就发现了这些问题，并且我们相信这仅仅是冰山一角。绿坝系统频繁的使用着不安全并且早已过时的编程操作，这将很容易引入其他的软件弱点。修复这些问题将要对该软件进行大规模的改变和十分谨慎的反复检测。在这个过程当中，我们建议使用者应该通过立刻卸载来避免使用风险.

昨天拿到一个样本,用户反应系统中的大量EXE文件无法运行,JPG图片文件的文件名都变成xxx.jpg                   .exe这样的文件.

经过分析这是一个AV杀手的变种,可以破坏大量的EXE文件,JPG,GIF等图片文件,被破坏的程序及图片文件无法恢复.
病毒运行后会时不时弹出很多网游广告,怀疑是利用病毒进行网站推广以及赚取流量广告费的.

请用广大户小心

 

追加:据最新测试,发现这个病毒有点狡猾,按常规的清除流程无法让他清除干净的.引擎组的同事接连更新了几个版本,希望可以杀干净这个可恶的病毒.

极速网络公司因业务需要现招聘可长时间在线上网的工作人员 操作简单 月工资1千到5千元不等 试用3日 联系QQXXXXXX

中午从朋友这收到几个文件，拜托我看看是不是感染型的。

进入虚拟机后，瑞星报毒。。。。。不过从病毒名没有看出是感染型的病毒。但是从瑞星的清除方式来看的确是感染型的病毒。

样本给MYM看后，得到的答复是：该病毒的母体文件会感染程序，被感染的程序运行后不会再感染其他程序，但是会从指定地方下载其他病毒文件。

然后在群里询问此病毒时，朋友又给了我另外一个样本。

病毒文件名为oyo.exe，一个典型的可以通过U盘以及感染程序两种方式进行传播的病毒。

病毒运行后在C:\下生成oyo.exe以及autorun.inf文件，并在%windir%\system32下生成oyo.exe。

在注册表中添加了如下项（映象劫持？）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.com]
    <IFEO[360Safe.com]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com]
    <IFEO[avp.com]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.com]
    <IFEO[IceSword.com]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]
    <IFEO[IceSword.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]
    <IFEO[KAV32.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe]
    <IFEO[KAVPFW.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp]
    <IFEO[KVScan.kxp]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe]
    <IFEO[KWatch.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe]
    <IFEO[MagicSet.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
    <IFEO[msconfig.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe]
    <IFEO[nod32.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe]
    <IFEO[nod32krn.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe]
    <IFEO[nod32kui.exe]><C:\WINDOWS\system32\oyo.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
    <IFEO[runiep.exe]><C:\WINDOWS\system32\oyo.exe>  []

这毒够变态。。。。

oyo.exe，文件大小：420KB（430,080字节）CRC32值：5D3156A8，UPX1.86壳。

被感染的程序文件会相应变大400kB左右，用TC对比感染后的文件与病毒母体就可以发现病毒把自己绑到了正常程序的头部。

运行被感染的文件时，病毒会把正常文件释放出来。比如一个被感染的程序a.exe，运行该程序时，病毒会生成一个a.cmj文件，这个文件就是正常的程序。

目前瑞星和毒霸都无法处理被感染的程序。。。。

已经联系毒霸引擎组。。。

以上是简单分析

 

10月2日早上，小陌在CISRT群里说我们的网站被挂马了。经过小月的检查确认网站没有被入侵过的迹象，初步怀疑是由APR欺骗引起的（具体可参考http://www.cisrt.com/blog/read.php?386)

此后TrendMicro趋势科技和我们联系，告诉我们网站被挂了马。

不过在此期间，TM的官方BLOG把此次事件定义为入侵事件。。。。在这里我们需要澄清一下。CISRT网站在10月2日出现的问题并不是由入侵引起的，经检查网站没有被人为修改过的迹象。而且不是每次进入网站（cisrt.com、cisrt.org、cisrt.net）都会出现网页代码里有iframe标签的挂马现象。所以我们怀疑是于APR攻击造成的。

 

感谢大家对于C.I.S.R.T的观注和帮助

附TM的报道：http://blog.trendmicro.com/cisrt-under-attack-2agasps2a

 

下午。。。。又一个MSN病毒爆发了。。。

呵呵，中毒后MSN会自动向好友发送一段文字以及一个zip文件。

文件名可能会为：photo_album79.zip、photos2007_73.zip、photo_album31.zip等。收到的样本CRC值：C497F811

可能发送的消息是：NI HE WO !!! .... QING KAN 、 KAN WO DE ZHAOPIAN、  JIESHOU WO DE ZHAO PIAN   !!、ZHE SHI WO DE LUOZHAO  QING BU YAO FA GEI BIEREN !!、YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN   !!
纪念一下，我现在不太容易能这么巧的碰上病毒爆发了。。。

 

自五月以来，病毒一直没有太大的新闻。大家都在思量着，是不是在平静的背后隐藏着什么不可告人的阴谋。。。。。

果不其然，到了五月底，六月初。一种利用映像劫持技术的病毒开始流行，至今有愈越愈烈的趋势。

昨天就遇到一台中了这鬼东西的系统，让我深深体会了一下。。。

 

 

最近的有危胁的病毒很少，按奈不住寂寞，有几个安全软件就跳出来给大家娱乐娱乐。

5月18日，国际著名的安全软件厂商诺顿发生了误报事件，把Windwos XP中文版中的两个系统文件误认作病毒，导致用户机器无法正常使用。同一天，也是国际著名的安全软件厂商卡巴斯基也暴出了误杀事件，卡巴斯基误杀了瑞星卡卡的升级程序（非常可笑的误报），还是同一天，卡巴不甘被诺顿抢去风头，继续暴出卡巴斯基误杀Windows XP系统文件的事件（同样只发生在中文版的XP上），无奈诺顿误杀事件实在是风头太劲，卡巴连续暴出两次误杀都没有抢了诺顿的风头。于是。。。。在5月21日，新的一周的开始之日，又闻卡巴斯基误杀QQ2007 Beta1的事件。。。。。还会不会有更多的误报事件在这一周发生？不得而知。。。尽请期待。。。。

另外再插一段，我非常BS卡巴斯基中国官方发表的所谓的“关于误杀瑞星卡卡”的声明。此声明通篇在宣传卡巴斯基如何如何的对用户负责，把所有的责任推给了瑞星公司——因为瑞星公司在其官方网站上发表了一篇关于卡巴误杀瑞星卡卡的文章。还咬定自己是没有错的，错在瑞星，甚至认为瑞星有扰乱公众获取正确信息的行为。。。。卡巴误杀瑞星卡卡的升级文件是事实，是100%卡巴制造的误杀事件。你凭什么就避重就轻的不肯承认呢？从小老师就教育我们要说实话不能骗人，要勇于承认错误。怎么这么大一个人了，也不知道维护公司品牌呢？你这样子，还能让人放心吗？卡巴中国，我BS你这些行为。

 

Email-Worm.Win32.Zhelatin这个蠕虫应该可以算利用社会工程学比较彻底的一个病毒了。

总是抓住目前最引人关注的新闻做为病毒邮件的标题，诱骗用户上当。

早上在CISRT发布新闻做了报道，下午下班时，小陌就通过样本渠道拿到了这个病毒的样本。

简单说一下这个病毒发出的电子邮件标题可能为如下之一：

"USA Just Have Started World War III"
"Missle Strike: The USA kills more then 20000 Iranian citizens"
"Israel Just Have Started World War III"
"USA Missile Strike: Iran War just have started"

可能的附件名为：

“News.exe” , “Movie.exe” , “Read_Me.exe” , “Click_Me.exe” , “Video.exe” , “Read_More.exe”等

病毒别名：

W32/Dref-AF [Sophos] , W32.Mixor.AR@mm [Symantec] , Trojan.Small-1604 [ClamAV] , Email-Worm.W32.Zhelatin.cq [F-Secure] , W32/Tibs.ET@mm [Fortinet] , WORM_NUWAR.AOK [Trend Micro]  

 

 

从老妹的机器上逮了一个毒霸启发式定义为可疑的文件。

卡巴报Worm.Win32.VB.fp ，一个蠕虫程序。。。。。

 

目前不清楚其他杀毒软件遇到这样的情况会如何反应。。。

瑞星啊瑞星，你快给我报一个未知病毒。。。好让我测试一下

昨晚朋友给了我个文件，今天下午闲着没事，简单看了一下代码。

一个VB写的小毒，代码里有几个网址，一个打开后是一个免费电影的页面，内容是些色情的，不过都是不能点击的，只是挂了些图，只有两个号称是可以免费下载的电影，一看连接就知道是个陷井——指向的是一个EXE文件，文件名是wmplayer.exe。和朋友给我的那个文件名及MD5值一样。另外一个地址是一个EXE的下载地址，下载下来的文件名是qq-qunfa.exe，MD5值同前，也是同一个文件。

暂时就看了这么些，危胁应该不大，没有运行看情况。。。

不过相信不是什么大毒。。。。

附上该毒的MD5值：

73a728e521c78aa959b7bc106c5d50f8   wmplayer.exe

 

哎，写的乱七八糟的，今天心情不怎么好。

明天又要上班了，这个春节真是过的一点感觉也没有。

昨天我妹说电脑不太正常，打开一会后就会自动重启。

拿到本本后用金山的可疑文件扫描工具查了一下，呵呵，真不错。五六个可疑文件。

这些东西都伪装成文件夹图标样式，如果系统是默认的“隐藏已知文件类型的扩展名”那么你看到的将是一个文件夹。

病毒文件主要分布在%sysroot%:\Documents and Settings\administrator\Local Settings\Application Data\下。

常见的文件名为csrss.exe, winlogon.exe,servies.exe,smss.exe等。

把病毒添加到启动菜单
c:\Documents and Settings\administrator\[开始]菜单\程序\启动\empty.pif


病毒会修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
达到不显示隐藏文件的目的。

并且在资源管理器“工具”菜单下也将看不到“文件夹选项”这一项。

并且还修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools" = "1"
"DisableCMD" = "0"
达到禁用注册表编辑器等操作。

此病毒还会定时自动重启系统

根据金山毒霸病毒大百科的资料，该病毒在2006年1月就已出现，但老妹本本上的毒霸2007，2007.1.7的库却查不出，说明此机上的病毒又是一个新的变种。

已经提供给瑞星，卡巴等相关机构。

另外在windows\system32\1021下还发现一个services.exe的程序。据毒霸引擎组初步分析是一个感染型病毒。

附Worm.Brontok.b的CRC检验码：B534F25B

新感染型样本CRC检验码：EF8D082F

最新进展：

不幸,瑞星把感染型分析成了一个小马，让我郁闷了一回。
托小狮发回瑞星研发重新分析了。

金山：九三正在加班看这个样本，呼呼向忙碌在反病毒第一线的九三年同志致敬
另外，给卡巴发了四五回信，都没收到回信。样本用卡巴在线扫描也全是OK。看来发的信是丢了。该死的光缆。。。

咖啡上报页面也处于基本打不开的状态。

 

再透露些从飞塔的朋友那得到的消息，此感染型病毒前半部分是由VB写的，估计是一个木马，其他部分应该是用C写的。。。

 

呵呵，到底是瑞星出品的东西。

IE防漏墙至少在监控的操作上和瑞星的注册表监控程序非常的像。

瑞星的注册表监控只要有程序（包括用户使用注册表编辑器编辑注册表）对注册表进行操作就会提示“是否允许改动”

IE防漏墙也是这样，当我在IE窗口想查看该页面的源文件时，IE防漏墙一样也会提示。具体的看附图。

呵呵，这样的东西，当一个对电脑不熟悉的用户面对这样的提示时，他会如何做呢？

不是想说瑞星什么，我几乎天天是对着在瑞星在BS的。但是，如果一个产品无法做到准确判断或是无法辅助用户做出准确的判断，那这款产品存在的意义是什么？当然现有的技术无法做到准确判断将要运行的程序是不是真的有害，但也应该尽可能多的提供相关信息给用户。

像IE防漏墙提供一个一长串让人看的头晕的路径，却没告诉你IE要执行什么程序，你会如何做呢？

当然我知道我是要查看源文件，所以我会允许程序的运行。

昨天在处理我妹的本本的时候,发现系统感染了win32.virut.c这个病毒.这是一个感染windows下PE文件的病毒.

呵呵，在用瑞星清除病毒时，发现瑞星会把文件杀坏。具体表现为清除病毒后的文件无法运行，而其他杀毒软件没有此问题。

比较郁闷，因为很久没有看到这样感染PE的病毒了，没想到瑞星在处理这个病毒时竟然会杀坏文件。实在是没有想法了。

现在系统不能进了，又没有home版的安装程序，C盘又是NTFS的，实在是BS瑞星的病毒分析。。。。

头痛，老妹的系统里都是她上课要用的论文。。。。。

瑞星，我BS你。。最近的病毒分析是越来越没有水准了。

先说说这个病毒吧,毒霸命名为Win32.Vcing.a.32768.这是一个WIN32平台下的感染行病毒，会感染磁盘中扩展名为.exe的文件。

这个病毒有一个比较有意思的感染方式.

感染方式：
病毒运行后会检测自身是否为原始样本，若是走<流程a>，否则走<流程b>，检测方法如下：
1、首先检测当前实例路径中是否含有.exe，若没有，跳到<流程a>
2、检测当前实例路径中是否含有lsass，若有，跳到<流程a>
3、检测当前实例大小是否大于8000h，若不是，跳到<流程a>
<流程a>
1、申请10000h(65536)字节的空间，从当前病毒文件中读取10000h(65536)字节数据，（一般读到的会小于10000h(65536)字节，因为病毒长度为8000h字节，而此流程一般为病毒原体走的，除非特殊情况）
2、创建%system%\drivers\lsass.exe文件，将读到的内容写入文件（正常情况下为病毒原始长度8000h字节，非正常情况不会大于65536字节）。
3、感染文件

<流程b>
1、查找特征字符串0x12345678，读取其后的4字节前次感染的病毒体长度length，从文件头定位到length偏移，读取4字节FileLen，为原正常文件长度，释放出正常文件*.~tmp并运行。
2、定位到length+8+FileLen位置，将后面的内容生成%system%\drivers\lsass.exe病毒文件，然后开始感染。

从以上的感染分析可以得出一个结论,当EXE文件比较小的时候,病毒的感染行为就会把EXE文件的原始内容完全覆盖掉,变成一个不折不扣的病毒体文件.

好了，说一下瑞星清理这个病毒时的BUG，当瑞星检测一些比较小的被感染EXE文件时（比如只有9k的一个EXE或者本身就是病毒原文件）会发现该文件就是一个病毒体，选择了清除后，瑞星就会把该文件删除。然后。。。。。然后最搞笑的事发生了，瑞星还会提示清除失败，需要再次清除该文件，于是。。。再点重试，结果还是提示清除失败，如此反复几次后，瑞星最终提示清除失败。

 

分析了一下，应该是瑞星处理该病毒的流程出了问题，既然判断文件为病毒体，需要采取删除病毒文件的操作，然后该流程就应该结束。而不应该再去走一遍清除病毒代码的步骤。当然如果被感染的EXE文件足够大（比如说1M的一个文件）那瑞星可以安全的清除病毒代码，还你一个完整的程序。

 

该BUG已经通过狮子提次瑞星研发了，相信很快可以解决。目前的18.55.21还存在此问题（11月29日病毒库）

感谢落叶提供了该病毒的技术分析

整整一周和广告程序对抗，真是郁闷。
说说这些程序的特征吧，首先就是这些东西已经不是只往windows或是windows/system32下了。有些东西已经往其他目录下渗透了，而且加入了驱动来进行自我保护（在此之前，我只知道3721一类的有驱动保护自己，我也没有仔细去看过）最近看的比较多的是jr.sys和一种以六个字母加二个数字组成的驱动文件如abcdef22.sys。
另外，中文域名和易趣购物还有MMSAssist这东西依然流行，这绝对是对刚出炉的流氓软件定义草案的讽刺！！！！！
越来越多的广告程序把自已加入服务，企图蒙蔽用户（这种隐藏自己的行为和病毒已经没有区别了）
最近还发现了两个比较有意思的程序，run.exe和rundllforwin2000.exe，这两个文件的CRC值一样，看文件属性似乎也是MS自家的东西.
对了，提一下最近ncast似乎又开始活跃了，机器不停会弹出这个网页hXXp://www.ncast.cn/yahoo163wild011.html，页面显示为站长统计[emot]kill[/emot]我看了真想杀人，然后页面会转向什么“上海XXX医院”全是骗钱的地方。。。真是悲哀啊

大清早，同事说他的机器老是关不了机，我觉得奇怪，才给他新装的系统怎么会关不了机。
于是就过去看了下。。。。。结果。。。郁闷。。。啊。。。N多个流氓程序在聚会，实在是无言。
一个个提取样本。。。真累。。。懒的手工清除了，扔给毒霸研发，过会用程序搞定哈。。
这些流氓藏的比较好。隐藏在winnt\intel，winnt\command，winnt\download，还有一个藏在system32下。更绝的是有几个藏在Program Files\Common Files\Microsoft Shared\MSInfo和正常的文件混在一起。真是太恶心了，如今的流氓软件比病毒木马更令人作呕。