收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 “摸奶门”
1234下一页
返回列表 发新帖
查看: 13014|回复: 32
收起左侧

[病毒样本] “摸奶门”

[复制链接]
softkiller
发表于 2009-7-3 10:00:52 | 显示全部楼层 |阅读模式
微点扫描不报

样本:http://www.sanduzuo.cn/mnm/慈溪职高摸奶门.3gp.rar


jerrysun

简单的看了下lei1115.exe,应该只是个刷流量的程序,危害并不大。

lei1115.exe  是VB 编写的,经过Aspack加壳。

行为比较简单:释放文件,然后运行释放的文件。
1.释放资源段内PE文件到%windir%\system32\autolem.exe 和%windir%\system32\btmcd.dll,%windir%\system32\maxthon.exe(maxthon.exe和btmcd.dll是同一个文件)

2.运行maxthon.exe

3.程序退出。



maxthon.exe(btmcd.dll)也是VB编写的,没有经过加壳保护。其行为是创建指向恶意网站的桌面图标,修改注册表添加启动项,生成记录感染时间的文件。
1.创建桌面图标Internet Explorer.lnk
通过依次查找Program Manager,SHELLDLL_DefView,SysListView32获取放置桌面图标的窗口句柄,通过发送消息的方式创建桌面图标Internet Explorer.lnk,属性目标为"%HOMEDRIVE%\Program Files\Internet Explorer\iexplore.exe" http://www.leilei.cc/?u_1115,对浏览器进行劫持,将快捷方式指向恶意网站。

2.创建注册表项,实现autolem.exe自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GO8JH169-8246-9BCE-2347-9BCE13568WMB}]
StubPath = "autolem.exe"

3.记录感染时间。
创建%windir%\system32\ntdox.sys  记录感染时间(伪装成驱动文件)





autolem.exe 也是VB编写,未加壳。作用是运行maxthon.exe然后退出。
1.运行%windir%\system32\maxthon.exe

2.__vbaEnd结束




p.s. :http://www.leilei.cc/?u_1115貌似无法访问........

[ 本帖最后由 softkiller 于 2009-7-17 10:01 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

sh织田香
发表于 2009-7-3 10:12:28 | 显示全部楼层
有报警!!还有文件格式是EXE的,很有可能是木马的嘛....

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

duoduo19860705
发表于 2009-7-3 12:01:45 | 显示全部楼层
经过瑞星2010对该病毒样本分析,该文件为安全文件!
回复

举报

Tynox
发表于 2009-7-3 12:05:30 | 显示全部楼层
上报毛豆
回复

举报

sam.to
发表于 2009-7-3 12:08:41 | 显示全部楼层
URL, to kl

3/7/2009 12:09:26        Detected: Trojan.Win32.Chifrax.a        C:\Documents and Settings\kato\桌面\慈溪职高摸奶门.3gp.exe

[ 本帖最后由 sam.to 于 2009-7-3 12:10 编辑 ]
回复

举报

coolife
发表于 2009-7-3 12:11:49 | 显示全部楼层
原帖由 duoduo19860705 于 2009-7-3 12:01 发表
经过瑞星2010对该病毒样本分析,该文件为安全文件!

太绝对了  
明显是个毒
回复

举报

sam.to
发表于 2009-7-3 12:21:46 | 显示全部楼层
附件跟主题沒关
回复

举报

xyao
发表于 2009-7-3 12:21:54 | 显示全部楼层
RTD

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

sam.to
发表于 2009-7-3 12:30:45 | 显示全部楼层
原帖由 duoduo19860705 于 2009-7-3 12:01 发表
经过瑞星2010对该病毒样本分析,该文件为安全文件!

放上vt,给他看
回复

举报

狂舞的猪
发表于 2009-7-3 12:32:22 | 显示全部楼层
VirSCAN.org Scanned Report :
Scanned time   : 2009/07/03 12:24:58 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : 桌面123.rar
File Size      : 44515 byte
File Type      : RAR archive data, v1d, os
MD5            : 1c7a577637d1900ef8745776a21263a7
SHA1           : d196977f8843a50beab2b07829789220d4248db3
Online report  : http://virscan.org/report/f683400bf70c2cb117b5833bb5b5e2d7.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.1         20090701154618    2009-07-01  2.10   -
安博士V3       2009.07.02.02   2009.07.02        2009-07-02  0.75   -
AntiVir        8.2.0.204       7.1.4.174         2009-07-02  0.50   -
安天           2.0.18          20090702.2586426  2009-07-02  0.01   -
Arcavir        2009            200907021406      2009-07-02  0.02   -
Authentium     5.1.1           200907021858      2009-07-02  1.12   -
AVAST!         4.7.4           090702-0          2009-07-02  0.01   -
AVG            8.5.286         270.13.2/2215     2009-07-03  3.40   -
BitDefender    7.81008.3653561 7.26325           2009-07-03  3.16   -
CA (VET)       9.0.0.143       31.6.6592         2009-07-02  7.88   -
ClamAV         0.95.2          9534              2009-07-02  0.01   -
Comodo         3.9             1538              2009-07-02  0.74   -
CP Secure      1.1.0.715       2009.07.02        2009-07-02  10.90  -
Dr.Web         4.44.0.9170     2009.07.03        2009-07-03  4.83   -
F-Prot         4.4.4.56        20090702          2009-07-02  1.14   -
F-Secure       5.51.6100       2009.07.03.02     2009-07-03  0.04   -
飞塔           2.81-3.117      10.560            2009-07-02  0.20   -
GData          19.6226/19.383  20090703          2009-07-03  4.33   -
ViRobot        20090702        2009.07.02        2009-07-02  0.43   -
Ikarus         T3.1.01.64      2009.07.03.72965  2009-07-03  2.93   -
江民杀毒       11.0.800        2009.07.02        2009-07-02  3.43   -
卡巴斯基       5.5.10          2009.06.30        2009-06-30  0.02   -
金山毒霸       2009.2.5.15     2009.7.3.7        2009-07-03  0.47   -
迈克菲         5.3.00          5664              2009-07-02  2.98   -
Microsoft      1.4803          2009.07.02        2009-07-02  4.90   -
mks_vir        2.01            2009.07.02        2009-07-02  3.10   -
Norman         6.01.09         6.01.00           2009-07-02  4.01   -
熊猫卫士       9.05.01         2009.07.02        2009-07-02  1.69   -
趋势科技       8.700-1004      6.242.08          2009-07-02  0.02   -
Quick Heal     10.00           2009.07.02        2009-07-02  1.46   -
瑞星           20.0            21.36.34.00       2009-07-02  0.27   -
Sophos         2.88.0          4.43              2009-07-03  2.59   -
Sunbelt        5222            5222              2009-07-02  0.81   -
赛门铁克       1.3.0.24        20090702.005      2009-07-02  0.06   -
nProtect       20090702.02     4822196           2009-07-02  6.37   -
The Hacker     6.3.4.3         v00360            2009-07-02  0.58   -
VBA32          3.12.10.7       20090702.1621     2009-07-02  2.02   -
VirusBuster    4.5.11.10       10.107.34/1754975 2009-07-02  2.15   -
全不报
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-4 07:57 , Processed in 0.145696 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表