從大砲開講部落格看見的，裡面有不少東西可看。

執行之後，有下列行為：

[DLL Injection]
C:\WINDOWS\Help\A8644260.dll (注入某些執行程序如檔案總管等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\I69Q72L4\gmsex[1].exe
C:\WINDOWS\Help\A8644260.dll
C:\WINDOWS\Help\A8644260.exe

[Added BHO]
{DD8BC00C-4CB1-43C3-BC48-4FBBB53A2618}-C:\WINDOWS\help\A8644260.dll

注意：大部分防毒軟體都偵測不到，除了下列：

A8644260.dll:
[ Kaspersky ], “PAKE_Patch.PECompact, PAKecBundle, PAKECompact”
[ Nod32 ], “probably a variant of Win32/PSW.Lineage.DN trojan”
[ HBEDV ], “HEUR/Malware”
A8644260.exe:
[ Kaspersky ], “PAKE_Patch.PECompact, PAKecBundle, PAKECompact”
[ HBEDV ], “HEUR/Malware”
gmsex[1].exe:
[ Kaspersky ], “PAKE_Patch.PECompact, PAKecBundle, PAKECompact”
[ HBEDV ], “HEUR/Malware”
update.exe:
[ Kaspersky ], “PAKE_Patch.PECompact, PAKecBundle, PAKECompact”
[ HBEDV ], “HEUR/Malware”

樣本當天發現的時候就提到了，在樣本區也有。

不過網頁裡面掛的那隻木馬 gmsex.exe 已經大多數防軟都可以抓到了。

不太敢開，因為我對PCC感到.....

那隻PCC可以偵測了，我有回報過，他們也給答覆了，只是忘記在哪個信箱了...。

是噢
那我在pcc clud上寫錯了
算了當做是個警告，讓趨勢機警一點