谁看得懂下面的代码?能解释清楚的,可以再加100分!


C:\WINNT\WSOCK32.DLL\$`UVW
T$8QRh
PQQj QQ
D$`j?PQ
D$ j?PQ
L$$PQR
L$XPhX
QQSVWd
t.;t$$t(
HHtiHtGH
HtHHt(
HtOHt)H
sO;>|C;~
HHtpHHtl
btHHt.
QQSVWj
>:uNFV
>:u#FV
Qf9=@*
SS@SSPVSS
t#SSUP
t$$VSS
_^][YY
"WWSh\
VC20XC00U
QQSUVWj
_^][YY
PPPPPPPP
PPPPPPPP
^}%95t
HSVHWtgHHtF
t/WWUPj
QQSVW3
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwx
UVFCSUFORkVOR1NIRU5DSEVOUUk=
eGlueGlhbmcxQDE2MTcwLmNvbQ==
amlwaW4xQDE2MTcwLmNvbQ==
bGFqaTFAMTYxNzAuY29t
VWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstu
bWFpbC4xNjE3MC5jb20=
VWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstu
YWFzcw==
JKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456
YWFzcw==
JKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstu
dGVtcEAxNjE3MC5jb20=
MTExMTExMTExMQ==
MjY0MjgxMzM3
NjEuMTUyLjk0LjEzMQ==
[email protected]
SECRECT_MIR2
ProductName
SOFTWARE\Microsoft\Windows%s\CurrentVersion
:%d-%02d-%02d %02d:%02d:%02d
wsock32.dll
\cmcc.exe
\wsock32.dll
TDXDraw
TFrmMain
mir.dat
SADFWERASFASDFSADF
LastGroup
user.ini
mirsetup.ini
EHLO %s
AUTH LOGIN
%s%s%s%s%s%s--www.LuoCong.com
X-Mailer: LCMailer [ch]
MIME_Version:1.0
Content-type:multipart/mixed;Boundary=www.LuoCong.
--www.LuoCong.com
Content-type:text/plain;Charset=gb2312
Content-Transfer-Encoding:8bit
Subject:%s
Date:%s
%a, %d %b %Y %H:%M:%S %Z
C:\WINNT\system32\taskmgr.exe
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
((((((((((((((((((((((((((
((((( HC:\WINNT\cmcc.exemir.exe
cngame.exe
jetcar.exe
qq.exe
qqgame.exe
ttraveler.exe
uc.exe
mir3.exe
woool.dat
xy2.exe
jxonline.exe
my.exe
ca.exe
mu.exe
lineage.exe
RoClient.exe
client.exe
l2.exe
A3.exe
asdegame.exe
LobbyShell.exe
cuteftppro.exe
msimn.exe
iGame.exe
flashget.exe
netant.exe
WINAW32.EXE
IEXPLORE.EXE
Woool.dll
mirdll.dll
51pypk.exe
Mir2Facility.exe
Mir2NoSuch.exe
pp.exe
uc.exe
wgshell.dll
mir3.exe
SALIEJLOOSLE355LKKDHOOU35O@HAJKD
\wsock32.dll
C:\Program Files\Iparmor\wsock32.dll
上面的信息,使用瑞星监听器获得。

解决方案 »

  1.   

    可以肯定这是传奇猎手木马 : wsock32.dll 108K(系统的只有28K)   cmcc.exe  
    最烦的是它通过动态创建文件来反删除?!
    有几个地方值得注意:
    [email protected]
    ^}%95t --> 95% Trojan
    SOFTWARE\Microsoft\Windows%s\CurrentVersion  :%d-%02d-%02d %02d:%02d:%02dAUTH LOGIN
    %s%s%s%s%s%s--www.LuoCong.com
    X-Mailer: LCMailer [ch]
    MIME_Version:1.0
    Content-type:multipart/mixed;Boundary=www.LuoCong.
    --www.LuoCong.com  <----信件发送目标cmcc.exe 里的是所有被关联的文件
    关注这几句:wgshell.dll <----------------------
    IEXPLORE.EXE<----------------------SALIEJLOOSLE355LKKDHOOU35O@HAJKD
    \wsock32.dll
    C:\Program Files\Iparmor\wsock32.dll
    不知哪位大哥有这个鬼木马的源程序 或
    知道哪里有得下,偶想研究一下,上次被它害惨了. 
    #_#!!
      

  2.   

    TO:   g961681(辛痕) 
    瑞星知道,那是肯定的.但是,他不会告诉你怎么分析的,那样学不到东西的.
      

  3.   


    应该还有一些相关文件没有浮出水面,努力中....
    有个clsmn.exe 也让人头,一在管理器中结束便自动重启.
    这年头还真得小小心心.
    还好,那台机子是专门用来实验的. -_-!还有谁可以补充得具体些?!
      

  4.   

    mir.exe是传奇2的网络游戏的客户端动行程序
           类推吧,自已顶,等待高手.....
      

  5.   

    http://it.rising.com.cn/service/technology/RS_RavDetect.htm
    上面的地址有瑞星监听器下载......
    周未结贴,如果没有人可以解决.
      

  6.   

    知道。
    我在http://www.juntuan.net/hkjc/ldyj/n/2005-06-07/5652.html找到了答案。