阅读了网友“小蓉”的《全面了解木马“聪明基因”》,被该木马的狡猾性所吸引。该木马运行之后生成GENUESERVER.htm文件用于迷惑受害者,同时原木马文件自动销毁。对木马作者的设计思路甚是佩服。
小弟不才,有几点补充,请各位朋友共同探讨:
……聪明基因的服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe、C:\WINDOWS\Explore32.exe,以及C:\WINDOWS\system\editor.exe……
……MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联……
……Explore32.exe则默默的躲在C:\WINDOWS\system下伺机而动,一旦你以为这是系统文件不小心运行了她,那你就等着挨“宰”吧!……
在此处小弟需要补充一点:Explore32.exe是建立在HLP文件的关联上。(图一)
图一
[HKEY_CLASSES_ROOT\hlpfile\shell\open\command]
@="C:\\WINDOWS\\explore32.exe %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command]
@="C:\\WINDOWS\\explore32.exe %1"
对于这个双文件关联的木马,在木马史上也是甚为罕见。只要清除不干净,还是会“春风吹又生”。
