样本一枚，貌似是弹广告的

XywCloud

今天早上在百度知道里答了个求助，那人描述自从误运行某程序后，电脑会时不时弹出各种恶心的广告（我就不明说了，大家懂的，还是日文的）。后来他无奈，用360粉碎了那个文件后就再也没弹广告了，只是电脑比以前要卡一些。
本人在毛豆的沙箱内测了这个文件（hta格式，我用一个批处理带起了这个程序，直接沙箱是不行的），一开始没看见广告，后来用powertool才发现有广告窗体，还真是日文的，可惜没法让它弹出来。
现在只想请各位大虾鉴定下这个玩意有没有别的行为（除了弹广告以外的行为）...



好吧，我需要补充几点...
1.多引擎扫描里25%的杀软报毒，报的都是脚本病毒。
2.我想知道的只是这玩意有没有除弹广告以外的其他病毒行为。
3.那个.h的文件我进毛豆沙箱的目录里看了内容...感觉似曾相识...
4.各位大虾敢不敢在那个程序访问互联网的时候点允许呢？？？反正我在D+弹窗的时候是点了允许【沙箱嘛！无压力~】。

Nocria

ESS kill

656635525

AVG 扫描 miss

FXA8

ESET Kill

a445441

360下载安全。。。

Nocria

To AVG

firefox3

20120403 150911        在 "C:\Users\xxxxx\Desktop\这个.rar\摦夋嵞惗偼偙偪傜偐傜16290955.hta" 中检测到 病毒/间谍软件'Mal/ObfJS-CS'。清除不可用。
20120403 150911        感染病毒的文件"C:\Users\xxxxx\Desktop\这个.rar"已删除。

bbs2811125

2012/4/3 23:12:29        已删除        木马程序 HEUR:Trojan.Script.Generic        卡巴的高启发还是挺猛的不过网页防护我就不设置那么高了       

ssama

OpenService(FontCache)
StartService()
CreateFile(C:\Users\Shamrock\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat)
CreateFile(C:\Users\Shamrock\AppData\Roaming\Microsoft\Windows\Cookies\index.dat)
CreateFile(C:\Users\Shamrock\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat)
CreateFile(C:\ProgramData\csdat\X5A59XVV.h)
CreateProcess(C:\Windows\System32\mshta.exe,"C:\Windows\System32\mshta.exe" "C:\ProgramData\csdat\X5A59XVV.h",C:\Users\Shamrock\Desktop)
OpenService(rasman)
OpenService(Sens)
InternetGetConnectedState()
InternetOpen()
bind(port=0)
connect( 127.0.0.1:56626 )
InternetConnect(ann-d.com)
HttpOpenRequest(/user/h_info_ajax.php?checkuser=X5A59XVV)
CreateProcess((null),"C:\ProgramData\csdat\d.bat" ,C:\Users\Shamrock\Desktop)
CreateFile(NUL)
CreateProcess(C:\Windows\SysWOW64\PING.EXE,ping  -n 5 localhost ,C:\Users\Shamrock\Desktop)

Nocria

毒霸