这是一个创建于 3128 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直用 ESET
https://twitter.com/likev/status/720814005040713728
PS:
简单判断自己的电脑是否中了 DCM 木马:查看电脑是否存在 C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02} 这个目录
 |
1
kn007 2016-04-16 00:55:43 +08:00
[Window Title]
文件资源管理器 [Content] Windows 找不到“ C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}”。请检查拼写并重试。 [确定] |
|
2
kn007 2016-04-16 00:56:02 +08:00
裸奔很久,没问题。
|
|
3
kn007 2016-04-16 00:57:08 +08:00
WinXP/7/10 ,测试了下都没有,都裸奔, 24 小时不关机。。。
|
 |
7
Slienc7 2016-04-16 01:05:38 +08:00 via Android
重装;然后扔了所有国产软件。
|
 |
8
manhere 2016-04-16 01:06:51 +08:00
黑暗幽灵?
|
 |
9
VmuTargh 2016-04-16 01:13:40 +08:00
家里 XP 表示没有
|
 |
10
anotheruby 2016-04-16 01:15:47 +08:00 via iPhone
可以共享样本吗
|
 |
11
lzsadam 2016-04-16 01:39:01 +08:00
没中。
|
 |
12
subpo 2016-04-16 01:40:17 +08:00
谁会没有 C:\WINDOWS\Temp\xxxx ?
|
 |
13
TakanashiAzusa 2016-04-16 01:55:59 +08:00 via Android
Temp 里 xxx 很正常。。。
|
 |
14
Quaintjade 2016-04-16 03:09:59 +08:00 via Android
据说是通过劫持许多软件的自动更新来感染。
话说都什么年代了,一个软件既不从 https 站点更新,又不对更新包校验签名,这不等于是欢迎劫持嘛。 @TakanashiAzusa 这应该是 GUID ,如果相同的话那基本可以确定是同一个程序留下的。 |
 |
15
inisun 2016-04-16 03:30:31 +08:00
楼主是不是有些什么特殊背景...这马针对的不是一般的人啊,部分人说是国家队的产物呢...
|
 |
16
emric 2016-04-16 05:27:37 +08:00
我觉得和路由固件有很大关系。
|
 |
17
wyfyw 2016-04-16 05:59:45 +08:00  2
为毛我看到麦咖啡很早就探测到了这些东西。 http://home.mcafee.com/virusinfo/virusprofile.aspx?key=2236045#none
|
|
18
wyfyw 2016-04-16 06:03:33 +08:00
麦咖啡在 2013/3/10 就 post 了这个,也提到了 drive.v 这个文件。我看到这里一样的文章 http://drops.wooyun.org/tips/14911 怎么发帖者叫腾讯电脑管家。。。
|
 |
20
alexyangjie 2016-04-16 07:55:19 +08:00 2
黑暗幽灵,此木马不为劫财,只为监控,通过 http 劫持感染,专门针对大陆网民。不说了。看来以后在内地上网要全局 ss 或 vpn 了。
|
 |
21
RobertYang 2016-04-16 07:59:02 +08:00 via Android
@inisun 昨天有人提到有个地区的 LOL 更新,然后都有了。不知道真伪
|
 |
22
jqw1992 OP |
 |
23
cnnblike 2016-04-16 08:40:46 +08:00
手机上看到这条,还白白兴奋了好久,结果回家一看,没中。。。。好失落啊
|
 |
26
salary123 2016-04-16 10:34:11 +08:00
特地翻了一下大括号文件,,没看到有..楼主怎么中的..好知会一下
|
 |
27
asher 2016-04-16 10:38:14 +08:00
{AC4F5098-9028-44E5-8215-95029AB25115} 有这个算吗?
|
 |
28
shippo7 2016-04-16 12:30:01 +08:00
仔细看了看文章,的确有些地方奇怪。如 18 楼所说这个木马 2013 年就被 McAfee 发现,而且 McAfee 报告中写了其它知名杀软也早就发现了它。
提权方面木马用了一个 2011 年就出了补丁的 CVE-2011-1249 ,到现在只能影响没打补丁的 Win XP - Win 7 系统了,说明此木马是很久以前的。 现在又被拿出来写文章,有什么意义呢,似乎只是个普通的远程监控类木马,例如灰鸽子 |
 |
29
Chinternet 2016-04-16 12:48:21 +08:00
没中。。。。好失落啊
|
 |
30
DcmTeamMember 2016-04-16 18:28:13 +08:00
楼主肯定不是一般人,因为: https://www.v2ex.com/t/271590
|
 |
31
jerryjhou 2016-04-16 18:55:46 +08:00
@DcmTeamMember 排除阴谋论嫌疑不说, Gov 的监控对象很可能只是"潜在威胁"(比如经常上推查 CCP 的黑历史的)
|
|
32
jqw1992 OP |
 |
33
xmh51 2016-04-16 23:22:13 +08:00
@shippo7 McAfee 报告 的功能比较少啊,威胁等级还是低好奇怪,( Attempts to launch an instance of the Windows file system explorer.)而腾讯说能干那么多事,两个真是同一个病毒?或者是升级版?
|
 |
34
KexyBiscuit 2016-04-17 10:49:30 +08:00 via Android
GUID 相同才能判断是同一个程序。
另外明明有很多特征可以判断是否感染,非要看临时文件目录…… |
 |
35
dsb2468 2016-04-17 22:36:28 +08:00
@xmh51 江民居然早 4 年就发报告了: http://bbs.kafan.cn/thread-1354867-1-1.html
|
|
36
dsb2468 2016-04-17 22:44:17 +08:00
@shippo7 报告上来看,功能似乎一直在升级改进。 http://bbs.kafan.cn/thread-1354867-1-1.html 例如这个,同一个文件(名称),但是功能上来看,之前的并没有加白名单的操作。
|
Select Language