中招了：木马入侵记

昨晚要找一个低版本的Daemon Tools，随便在百度搜了一个下载。

一安装，杀毒软件就报警，发现了两个病毒。赶紧察看系统进程，发现除了已经被隔离的病毒之外已经植入了好几个未知（不招即来）的程序，并且有一个“AutoUpdate”进程正在跟网络通信。
在这一分钟里，安装了一个PodCast软件、一个P2P网络电视软件，一个中搜划词搜索，一个桌面媒体等，就是没有我所要的Daemon Tools。
我赶紧杀除进程之后卸载这几个程序，并且把启动项的相应项删掉。其中隐藏在System32目录下的servehost.exe 和svrhost.exe欺骗性最强。如果你现在能够在硬盘里发现这两个文件，那么恭喜你，你早就中招了。
在
HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run
中有一个启动项，执行C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe，昨晚我拿不定主意到底这个是不是木马文件。刚才看了一遍，才肯定了：这个文件的成立日期就是昨晚安装软件的时刻。这个文件把我骗了过去，因为在System32\svchost.exe是一个正常的系统文件,所以在我察看系统进程的时候，被这个放在IE目录的SVCHOST.exe混过去了。

还发现在System32目录下还有一个setupAD.exe，放在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce
之中启动。太阴险了；一般人只察看\CurrentVersion\Run目录，而且MSCONFIG也是忽略这个\CurrentVersion\RunOnce的东西。再找找，
HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Runonce
中也有，很明显是双保险。

然后我很谨慎地在网易的网站上找到我想要的Daemon Tools安装，不敢再从不明网站上随便下载软件了。

这个故事告诉我们：即使是高手也会中招；不同的是，高手能马上发现错误并改正，而许多人机器里保留着木马隐患而不自知。

补录：周日在WinNT目录下发现一个Tempp目录，是那个假Daemon软件执行的时候释放出来的文件，包括：
1.exe （未知）
2.exe （未知）
3.exe （未知）
4.exe （未知）
BBseeWebSetup 北京宽客技术有限公司 P2P网络电视客户端软件
pcastbarminibs 福州天下创世数码有限公司 简单游软件
Setup_w0008.exe 北京锋力信息科技有限公司 青娱乐软件
WIS137.exe 广州傲讯信息科技有限公司 Trojan.Ourxin
zz42.exe 广州傲讯信息科技有限公司 Trojan.Ourxin

并发现C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper目录（也是在同一时间产生的，肯定由那个软件生成），是中搜的搜索猪软件。

这些商业公司用这种卑劣手段推广软件，比3721还流氓。

补录2：In Service:
C:\WINNT\System32\big5_gb2312.exe is added as ".Net Boot Service". Actually it is a Downloader.Trojan
C:\WINNT\System32\ServeHost.exe is added as "Remote Log", and described as "IE地址栏搜索服务程序。如果此服务被禁用，任何依赖它的服务将无法启动。". I mentioned this file at the begining of this article. It is a Backdoor.Trojan.
If they really are useful software, why did they have to hide themselves, using an ambiguous name or false name? There's a Chinese saying: If a good deed is known, it is a small good deed. If an evil is unknow, it is a big evil.