今天早晨（04月15日），在天天安全网木马病毒防护区会员tt520提到了这样一个网址，原文如下：

引用:
--------------------------------------------------------------------------------

点了这个网址http:3721 .126.com/ 好象自动下了点东西，用瑞星可以查到
怎么办呢？5555~~
这个有什么害处吗？
大家来看看啊

--------------------------------------------------------------------------------

我就跑去看了看，点击网址之后，显示（图一）：



然后，Windows Media Player自动启动，但什么也没有播放。回瑞星病毒隔离系统发现刚刚查获了Mplay.exe包含Binder.Playbind病毒。很明显，这是一个捆绑器，那么它捆绑了什么呢？我从隔离系统把那个叫Mplay.exe的加或“保释”了出来。拿到exescope上去做常规查看，如下图二：



没有发现异常，软件的发布厂商是微软，产品名称是CD Player Acce ory，原文件名是Mypic.exe。可是既然是微软的，他干吗要改文件名呢？而且瑞星说的Binder.Playbind又是怎么回事？直觉上这里还有问题。我又把这个文件拿到WinHex上去看（图三）：



好像还是没问题呀，我继续找（图四）：



一直查到文件末尾，上面红圈里的代码，立即引起了我的注意。这部分与我两个月前测试的QQ杀手简直太像了。内容包括：

*密码文件

*接收邮箱

*用户名

*用户密码

*SMTP标志

*发送主题

*发送时间

*发送关键字

我立刻返回到上面的代码中，找被捆绑的第二个文件的文件头，以判断是不是QQ杀手。如图五：



看到了？是Keyon木马！那个网站把Keyon的服务端与微软的Mypic.exe（CD Player Acce ory）捆绑在一起，捆绑后为了与真正的Mypic.exe不重名，改名为Mplay.exe，并保留了微软Mypic.exe的文件头部。这就是为什么用eXescope看的时候没有发现任何异常的原因呀，赫赫，几乎骗过了我。

瑞星实时监控也只是发现了捆绑机，只有当我把Mplay.exe从网页缓存的文件中手动提取出来后，才认得是Trojian.Keyon了。好了，既然杀毒软件能够杀除Keyon木马，我就不重复劳动了。但还是建议大家在使用杀毒软件杀除后，自己检查一下下列键值（原因是有网友说某些杀毒软件在杀除了QQ杀手之后，没用成功帮助用户恢复文件关联，这样的贴子可以在论坛上找得到）。既然从源代码上可以看得出Keyon与QQ杀手非常相似，就有自己再检查一遍的必要了（下列是正常键值）：

HKEY_CLA ES_ROOT\ chm.file\ shell\ open\ command "(默认)" "%windir%\hh.exe" %1

HKEY_CLA ES_ROOT\ exefile\ shell\ open\ command "(默认)" "%1" %*

HKEY_CLA ES_ROOT\ inifile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1

HKEY_CLA ES_ROOT\ regfile\ shell\ open\ command "(默认)" regedit.exe "%1"

HKEY_CLA ES_ROOT\ scrfile\ shell\ open\ command "(默认)" "%1" /S

HKEY_CLA ES_ROOT\ txtfile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1

win.ini文件中的windows分支：run=

C:盘的跟目录下不应该有destop.ini和folder.htt文件


上面都正常了吗？好，收工啦：）