set conn = server.createobject("ADODB.Connection")
conn.Open "provider=sqloledb; data source=zjg823;uid=sa;pwd=123456789;database=wangha"
'写完以后做一个测试,测试代码如下:
if conn.state=1 then
response.write"欢迎使用数据库wangha"
else
response.write"对不起,数据库不能打开!"
end if
文件名称:ctfmon.exe (伪ctfmon进程)
文件大小:45,056 字节
AV命名:Win32.HLLW.Rubbish (Dr.Web v4.44);
Worm.Win32.Downloader.c (kav 7.0.0.125)
加壳方式:N/A
编写语言:Microsoft Visual C++ 6.0
病毒类型:蠕虫
文件MD5:6ede432a957fbbba10e2284819fe8d6e
传播方式:网页漏洞
样本来源:剑盟 [病毒样本] ctfmon不新不旧,刚刚好!
行为分析:
1.释放批处理:
%Systemroot%\system32\tmipo.bat (24 字节)
用记事本打开.可见 taskkill /im 360tray.exe
然后进程cmd启动conime.exe (好像是废话)。
2.修改注册表,添加开机启动项
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: svchost
类型: REG_SZ
值: C:\Documents and Settings\Administrator\桌面\ctfmon.exe
注:值为ctfmon.exe的所在路径
3.激活批处理tmipo.bat终止360安全卫士实时监控程序
命令行 taskkill /im 360tray.exe
4.然.后svchost.exe启动wmiprvse.exe -Embedding
命令行:C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding
5.连接网络 218.75.91.248
6.遍历磁盘,查找*.htm、*.PHP、*.ASP等网页文件,插入一段JS代码:
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024