20CN网络安全小组论坛 - 病毒专区

论坛: 病毒专区标题: 木马/病毒样本

作者: NetDemon [netdemon]

ADMIN

今天收到这样一封信，信头如下：
X-Original-To: netdemon@20cn.com
Delivered-To: netdemon@20cn.com
Received: from tom.com (unknown [202.108.255.195])
by mail.20cn.com (Postfix) with SMTP id DC63F24FC1
for <netdemon@20cn.com>; Tue, 31 Aug 2004 20:09:59 +0800 (CST)
Received: from playearth66@tom.com (unknown [221.199.159.60])
by bjapp4 (Coremail) with SMTP id lPMIAMxrNEEsAJ88.1
for <netdemon@20cn.com>; Tue, 31 Aug 2004 20:15:09 +0800 (CST)
X-Originating-IP: [221.199.159.60]
From: playearth66 <playearth66@tom.com>
To: netdemon@20cn.com <netdemon@20cn.com>
Subject: =?GB2312?Q?=BF=EC=C0=B4=BF=B4=BF=B4=CE=D2=B5=C4=CD=B5=C5=C4=D7=F7=C6=B7?=
MIME-Version: 1.0
X-mailer: Foxmail 1.3 [cn]
Content-Type: multipart/alternative;
boundary="=====002_Dragon472874322354_====="
Date: Fri, 8 Aug 2008 15:22:45 +0800
Message-Id: <20040831120959.DC63F24FC1@mail.20cn.com>

This is a multi-part message in MIME format.

内容为：
朋友:
你好!

我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者,近年来

我在酒店一些高档客房偷偷装上摄像头,偷拍了两百多部作品,里面既有夫妻新婚之夜的

夫妻生活片段;也有演艺圈内一些演员为讨好名导演发生的性交易实录;甚至还有一些富

豪花高价购买中学女生们初夜权,更为可耻的是居然还是在白天和年仅十五、六岁发育

不太成熟的中学小女生发生性关系,因此其丑恶行径拍得更清楚不过了,这些富豪们退房

后本人还在其房间拍到了床单上其与中学女生发生性关系留下的鲜红的血迹.为了揭露

社会的这些丑恶现象,让这些人接受社会的谴责,本人特开办"中国丑恶现象偷伯网",将

本人偷拍到的这些社会丑恶方面的作品公开,希望能得到网友们的支持,如果你也有关于

这方面的作品,也可以在本人的网站上发布.
"中国丑恶现象偷拍网"网址:http://chinaweb.a184.zgsj.com/index.htm,欢迎访

问,希望能得到大家的支持,本网站系公益性网站,无任何广告,偷拍影片全部采用asx格

式压缩,如果您的系统没有安装解码器,可以在本站在线安装或下载安装即可观赏本人的

作品.

中国丑恶现象偷伯网

====================================================

有以上内容得出，这是一个骗取你点击以并让你按“确定”的诡计

按下会在你的IE上安装一个叫做 MEDIAPLAYPROJ1.OCX 的控件
继而在 C:\Program Files\Internet Explorer 下产生 IEXPLORER.EXE
在 C:\Windows\system32下产生 exp1ore.exe
变换原来IE为 IEXPLORE.EXE.yid
自身为IEXPLORE.EXE.hid
并设置自己为默认浏览器，运行时先运行自身，再调用原来的ie

下面为这个木马/病毒的样本，有兴趣的朋友研究一下。
http://www.20cn.net/temp/virus.rar