意外抓到一个可能的木马: CLOBS.EXE CLOBS.DLL

今天系统更新了，所以要重启机器。重启了之后却发现有一个叫做"CLOBS.EXE"的程序在启动的时候抛出异常！于是到网上搜了半天，GOOGLE、BAIDU以及到微软的主页上都搜索不到。看来是有问题了，至少是一个从来没有被任何人注意过的东西。


（正好抛异常，被VS逮到了）

于是只好进行全硬盘检索，结果发现该程序在一个临时目录里面呆着，这种偷偷摸摸下载到临时目录里面，然后趁着启动的时候自动执行的，明显是一种木马，或者至少是一种流氓软件的行为。


结果察看属性和用UEdit32看的结果表明，这个程序属于CNNIC，实际上clobs.exe原来的名称叫做setup.exe，也就是一个安装程序。要安装的一个dll叫做cdnprh.dll，而且貌似是就是装到IE上的一个Filter。在Google上查cdnprh.dll倒是查到了，貌似是一个广告插件。幸好因为未知原因，该程序抛异常了，所以没中毒。



但是奇怪的是，诺顿居然没有发觉这个东西的存在。而网上也有人反映装了瑞星还是会中这类的木马或者插件的东西。看来即使装了防病毒软件，我们的机器还是不安全啊！
不知道这类的病毒是否会不停的改变自己的下载文件名称，我估计会的。我想这是为什么网上搜不到CLOBS.EXE的原因了。