收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 改Hosts,钓鱼淘宝?假数字签名,伪装sendboxie,名字sv ...
123下一页
返回列表 发新帖
查看: 8450|回复: 20
收起左侧

[病毒样本] 改Hosts,钓鱼淘宝?假数字签名,伪装sendboxie,名字svchost

[复制链接]
飘渺虚无
头像被屏蔽
发表于 2011-7-21 11:21:43 | 显示全部楼层 |阅读模式
本帖最后由 飘渺虚无 于 2011-7-21 11:26 编辑

我最近一段时间比较忙,电脑有些异常没有时间理它(kafan打不开ddmap被转跳之类的),直到前两天淘宝跟我说有人申请重置我密码,我才知道事情大条了,用干净的电脑改掉密码,然后查了下还好没有任何经济损失。(估计是我支付密码邮箱密码等等各种密码不一样才没被人扩大战果。)

然后就开始清查样本,从网页不正常我就先查hosts一查果然被改,而且还锁定不让我改回来,接着顺藤摸瓜找到改hosts的元凶C:\Program Files\Common Files\Microsoft Shared\svchost.exe。用xuetr干掉对应的两个启动项,然后提取样本修改回正确的hosts就顺利了。

事后我发现我有两台电脑中标,一台装着可牛一台装着nod32 4.0,今天的库均无反应。

这个样本还有假的数字签名伪装成sendboxie


这个样本仅仅修改hosts文件并保证hosts不被其他人修改,貌似此外就没有其他恶意行为了。
下面是被改后的hosts内容
===================================================
173.252.206.56   www.163007.com
173.252.206.56   www.taobao13.com
173.252.206.56   www.163taoke.cn
173.252.206.56   go.all4ad.cn
173.252.206.56   www.xie51.com
173.252.206.56   www.miaosha.com
173.252.206.56   www.clean-esd.com
173.252.206.56   www.17ccc.com
173.252.206.56   www.21iq.com
173.252.206.56   www.3624.cn
173.252.206.56   www.ecbbs.cn
173.252.206.56   taoke.dygod.net
173.252.206.56   www.taounion.com
173.252.206.56   www.taoke788.com
173.252.206.56   www.wowawowa.cn
173.252.206.56   qinqin.pipione.cn
173.252.206.56   www.d2ksoft.com       
173.252.206.56   www.jf500.cn
173.252.206.56   www.girlbat.com
173.252.206.56   www.taobao28.cn
173.252.206.56   www.ojianfei.com
173.252.206.56   www.taobaowangjianfeiyao.org.cn
173.252.206.56   www.eluzi.cn
173.252.206.56   jf.hagoo.com.cn
173.252.206.56   www.51shoushoushou.com
173.252.206.56   www.100cai.cn
173.252.206.56   www.tiaolou.info
173.252.206.56   www.taobao308.com
173.252.206.56   www.541jf.com
173.252.206.56   www.yifua.cn
173.252.206.56   www.888jmw.cn
173.252.206.56   www.m18.com
173.252.206.56   3c-taobao.com
173.252.206.56   www.8bhy.com
173.252.206.56   www.3158.cn
173.252.206.56   www.wuxianda.info
173.252.206.56   www.ddmap.com
173.252.206.56   www.yaodian100.com
173.252.206.56   www.541jf.com
173.252.206.56   www.hangu100.com
173.252.206.56   www.mooiee.com
173.252.206.56   www.pb89.com
173.252.206.56   www.fanstao.cn
173.252.206.56   www.163007.com
173.252.206.56   www.nvzhuang2.com
173.252.206.56   www.21iq.com
173.252.206.56   www.clean-esd.com
173.252.206.56   www.25wang.com
173.252.206.56   www.520nr.cn
173.252.206.56   www.taobao13.com
173.252.206.56   www.shop991.com
173.252.206.56   www.f316.com
173.252.206.56   www.bt61.cn
173.252.206.56   www.gz123.net
173.252.206.56   www.meirong.org.cn
173.252.206.56   www.lady11.com
173.252.206.56   www.tao365.info
173.252.206.56   www.tbw7.com
173.252.206.56   www.jujike.com
173.252.206.56   www.hl-sms.cn
173.252.206.56   www.tk86.cn
173.252.206.56   www.go9939.com
173.252.206.56   www.lx2005.com
173.252.206.56   www.nanbudao-ch.com
173.252.206.56   www.go9939.com
173.252.206.56   zhuangyaninsina.zxq.net
173.252.206.56   www.4006070707.com
173.252.206.56   www.iphone4-cn.hk
173.252.206.56   www.indigital.cn
173.252.206.56   www.shoujitop.com
173.252.206.56   www.taobao-mo.com
173.252.206.56   www.pg8.cn
173.252.206.56   www.hl-sms.cn
173.252.206.56   mall.yi85.com
173.252.206.56   www.ywaili.com
173.252.206.56   www.77taoba.com
173.252.206.56   www.nongyecn.com
173.252.206.56   shouji.tbw.net.cn
173.252.206.56   www.sjxun.com
173.252.206.56   www.taobao-shouji.com
173.252.206.56   www.sugouwu.com
173.252.206.56   www.shopnokia.info
173.252.206.56   www.949528.cn
173.252.206.56   www.mbbw.info
173.252.206.56   diannao.nav123.com
173.252.206.56   www.qiangdiannao.cn
173.252.206.56   tbwwsgwdn.tao132.cn
173.252.206.56   www.949528.cn
173.252.206.56   www.lizhishu.com
173.252.206.56   www.sgo168.com
173.252.206.56   517xky.webnode.cn
173.252.206.56   tbwang114.dianban.org
173.252.206.56   bijiben.china-tea-set.com
173.252.206.56   www.lizhishu.com
173.252.206.56   www.buy.com.cn
173.252.206.56   www.cnmachine.net
173.252.206.56   www.taobaobijiben.cn
173.252.206.56   taobaowang91.17soutao.com
173.252.206.56   tao.365china.net
173.252.206.56   www.wang1314.com
173.252.206.56   www.sugouwu.com
173.252.206.56   tbw1dnbao.dianban.org
173.252.206.56   www.paocaipu.cn
173.252.206.56   taobaowang223.17soutao.com
173.252.206.56   tbwang149.dianban.org
173.252.206.56   www.bjbtxt.com
173.252.206.56   diannao5.blogcn.com
173.252.206.56   bijibendiannao.blog.china.com
173.252.206.56   www.taok.cc
173.252.206.56   www.mvptaoke.com
173.252.206.56   www.taobao.com
173.252.206.56   www.mbaobao.com
173.252.206.56   www.91kd.cn
173.252.206.56   www.66taoke.com
173.252.206.56   www.haixitaoke.com
173.252.206.56   www.ttcome.cn
173.252.206.56   www.taoke.info
173.252.206.56   www.taoke.la
173.252.206.56   www.cntorg.com
173.252.206.56   www.taokw.com
173.252.206.56   www.nvtaoke.com
173.252.206.56   www.4155.cn
173.252.206.56   www.fanql.com
173.252.206.56   www.taoke01.cn
173.252.206.56   www.dgtaoke.com
173.252.206.56   www.cqtkw.com
173.252.206.56   www.456789.cn
173.252.206.56   www.33tk.cn
173.252.206.56   www.taokeweb.com
173.252.206.56   www.191taoke.com
173.252.206.56   www.sosotaoke.com
173.252.206.56   www.payez.cn
173.252.206.56   sjpjc.cn
173.252.206.56   www.tao54.com
173.252.206.56   beauty.taobao.com
173.252.206.56   www.xl360.net
173.252.206.56   www.myyanshuang.com
173.252.206.56   www.taogr.com
173.252.206.56   www.hzp126.com
173.252.206.56   www.misski.com
173.252.206.56   www.xp-kj.cn
173.252.206.56   1688shop.org
173.252.206.56   www.8138rzb.com
173.252.206.56   www.myip.cn
173.252.206.56   www.daogou369.com
173.252.206.56   www.huuul.info
173.252.206.56   www.mianfeizhuanqian.com
173.252.206.56   www.baoyao.net
173.252.206.56   www.wxxinya.com
173.252.206.56   fx.taobaochanpin.com
173.252.206.56   fengxiong.taobaowangzhan.info
173.252.206.56   www.topfengxiong.tk
173.252.206.56   www.cctower.com
173.252.206.56   www.taokegood.com
173.252.206.56   www.maokao.net
173.252.206.56   fengxiong.1mulu.com
173.252.206.56   www.tao3721.cn
173.252.206.56   www.70xb.com
173.252.206.56   www.nixiaoxi.com
173.252.206.56   daogou.123jie.com
173.252.206.56   www.1325.net
173.252.206.56   www.0750tao.com
173.252.206.56   www.taoxbao.com
173.252.206.56   www.nvzhuangcheng.com
173.252.206.56   www.911tb.com
173.252.206.56   hot.uuu365.com
173.252.206.56   117vip.com
173.252.206.56   www.taobaoabc.cn
173.252.206.56   taobao.each365.com
173.252.206.56   www.nanzhuangcheng.com
173.252.206.56   www.taobaob.net
173.252.206.56   aiface.blog.hexun.com
173.252.206.56   www.1325.net
173.252.206.56   www.taobaoabc.cn
173.252.206.56   www.tbnanzhuang.info
173.252.206.56   www.365mk.com
173.252.206.56   tbnanzhuang.info
173.252.206.56   www.happimy.com
173.252.206.56   www.d6.cc
173.252.206.56   www.tbw7.com
173.252.206.56   www.taobao.bj.cn
173.252.206.56   www.tb527.com
173.252.206.56   www.023h.com.cn
173.252.206.56   www.117vip.com
173.252.206.56   www.see365.net
173.252.206.56   www.ent100.com
173.252.206.56   www.taobao-nz.com
173.252.206.56   www.wgo123.com
173.252.206.56   mai.key365.cn
173.252.206.56   www.changanbenben.tk
173.252.206.56   www.kk112.com
173.252.206.56   www.vipcoo.com
173.252.206.56   www.ll119.com
173.252.206.56   www.ll222.com
173.252.206.56   www.ll115.com
173.252.206.56   www.jj226.com
173.252.206.56   www.t83y.com
173.252.206.56   www.abhot.com
173.252.206.56   www.taobaogood.com
173.252.206.56   www.nv114la.com
173.252.206.56   www.kqudou.tk
173.252.206.56   www.findbaobei.com
173.252.206.56   01180.com
173.252.206.56   qdz.jkcoco.com
173.252.206.56   www.taobaolr.com
173.252.206.56   www.2d88.com
173.252.206.56   www.nv114la.com
173.252.206.56   www.kqudou.tk
173.252.206.56   www.findbaobei.com
173.252.206.56   01180.com
173.252.206.56   qdz.jkcoco.com
173.252.206.56   www.taobaolr.com
173.252.206.56   www.2d88.com
173.252.206.56   www.taobao7.com
173.252.206.56   www.8taobao8.com
173.252.206.56   www.taobao2010.com
173.252.206.56   www.gw007.com
127.0.0.1   club.alimama.com
127.0.0.1   www.alimama.com
127.0.0.1   bbs.taobao.com
127.0.0.1   forum.taobao.com
127.0.0.1   bbs.duba.net
127.0.0.1   www.360.cn
127.0.0.1   bbs.360.cn
127.0.0.1   bbs.janmeng.com
127.0.0.1   bbs.ikaka.com
127.0.0.1   www.shadu007.com
127.0.0.1   bbs.sd.keniu.com
127.0.0.1   bbs.kafan.cn
127.0.0.1   bbs.ijinshan.com
127.0.0.1   bbs.vc52.cn
127.0.0.1   bbs.sanfans.com
127.0.0.1   www.kpfans.com
127.0.0.1   bbs.shadu007.com
127.0.0.1   www.shadu007.com
127.0.0.1   bbs.sd.keniu.com
127.0.0.1   taoke.alimama.com
127.0.0.1   bbs.vc52.cn
====================================================
大家不觉得这hosts改的,反而更容易让人发现问题么。
另外我查了下173.252.206.56
[您的查询]:173.252.206.56 本站主数据:美国 本站辅数据:n/a 参考数据一:美国  参考数据二:ARIN  
如果直接打ip进ie地址栏,它会把我们转到淘宝特卖商城。。。(我查了下www.taobao.com.cn[/url]应该确实是淘宝注册的)
----------------------------------------------------
ps:4月28号有个会员发的和现在的发的应该是一个家族的东西,但是貌似没有引起多大关注。
http://bbs.kafan.cn/thread-971421-1-1.html有兴趣的可以看看。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

認真就輸了!
发表于 2011-7-21 11:25:58 | 显示全部楼层
指定要钓鱼网址,LZ 没杀软嘛?
回复

举报

飘渺虚无
头像被屏蔽
 楼主| 发表于 2011-7-21 11:27:28 | 显示全部楼层
我写了杀软啊。。。一台可牛 另一台 nod 均悲剧
回复

举报

hx1997
发表于 2011-7-21 11:30:30 | 显示全部楼层
无效数字签名
To ESET.

http://samples.nod32.com.hk/inde ... d93babc5562b4a53a7c
回复

举报

XMonster
发表于 2011-7-21 19:11:31 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

留侯
发表于 2011-7-21 19:16:02 | 显示全部楼层
大蜘蛛:svchost.exe - infected with Trojan.Hosts.4616
回复

举报

schumi小粉
发表于 2011-7-21 19:16:28 | 显示全部楼层
to MP
回复

举报

hj5abc
发表于 2011-7-21 19:34:29 | 显示全部楼层
杀得不多,TO MMPC

AhnLab-V32011.07.21.012011.07.21-
AntiVir7.11.12.272011.07.21-
Antiy-AVL2.0.3.72011.07.21Trojan/Win32.Buzus.gen
Avast4.8.1351.02011.07.21Win32:Trojan-gen
Avast55.0.677.02011.07.21Win32:Trojan-gen
AVG10.0.0.11902011.07.21Dropper.Agent.AOHD
BitDefender7.22011.07.21-
CAT-QuickHeal11.002011.07.21-
ClamAV0.97.0.02011.07.21-
Commtouch5.3.2.62011.07.21-
Comodo94562011.07.21-
DrWeb5.0.2.033002011.07.21Trojan.Hosts.4616
Emsisoft5.1.0.82011.07.21Virus.Win32.Injector!IK
eSafe7.0.17.02011.07.20-
eTrust-Vet36.1.84562011.07.21Win32/AdClicker.EEJ
F-Prot4.6.2.1172011.07.20-
F-Secure9.0.16440.02011.07.21-
Fortinet4.2.257.02011.07.21-
GData222011.07.21Win32:Trojan-gen
IkarusT3.1.1.104.02011.07.21Virus.Win32.Injector
Jiangmin13.0.9002011.07.20Trojan/Buzus.adyl
K7AntiVirus9.108.49292011.07.20-
Kaspersky9.0.0.8372011.07.21-
McAfee5.400.0.11582011.07.21-
McAfee-GW-Edition2010.1D2011.07.21-
Microsoft1.71042011.07.21-
NOD3263122011.07.21-
Norman6.07.102011.07.21-
nProtect2011-07-21.012011.07.21-
Panda10.0.3.52011.07.21-
PCTools8.0.0.52011.07.21-
Prevx3.02011.07.21-
Rising23.67.03.032011.07.21-
Sophos4.67.02011.07.21-
SUPERAntiSpyware4.40.0.10062011.07.21-
Symantec20111.1.0.1862011.07.21-
TheHacker6.7.0.1.2592011.07.21-
TrendMicro9.200.0.10122011.07.21-
TrendMicro-HouseCall9.200.0.10122011.07.21-
VBA323.12.16.42011.07.21Trojan.Sasfis.bjsz
VIPRE99172011.07.21-
ViRobot2011.7.21.45812011.07.21-
VirusBuster14.0.132.02011.07.20-



回复

举报

KOI9009
发表于 2011-7-21 19:35:51 | 显示全部楼层
360 SD QVM09 Kill
回复

举报

armchan
发表于 2011-7-21 19:45:38 | 显示全部楼层
金山认为安全,猎豹扑空了。很遗憾
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-5 14:05 , Processed in 0.385239 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表