新网马样本

显示全部楼层 · 发表于 2007-9-11 20:51:08

本网马利用 Web迅雷 1.8.4.130 版本最新漏洞；执行 EXE 程序；可过打全补丁的XP、2003、Vista 等操作系统。首先，访问 Thunder.html 文件， Thunder.html 文件调用 Thunder.js 文件 Thunder.js 调用Web迅雷漏洞，本机 C:\Documents and Settings\All Users\「开始」菜单\程序\启动将生成 Thunder.hta 默认于开机自启动 Thunder.hta 该文件包含了 Downer.html 文件以及调用Web迅雷来下载执行程序的代码 Downer.html 是下载文件该文件包含木马下载名称 Thunder.hta 代码中通过调用 C:\Progra~1\Intern~1\IEXPLORE.EXE 用IE来打开 Thunder.hta 所包含的木马下载文件 Downer.htm 从而得到木马下载地址网马运行的整个过程，没有任何的异常

大家扫扫看好象过NOD32 驱逐舰光华

显示全部楼层 · 发表于 2007-9-11 20:54:11

今天奇怪．我的红伞Ｃ版一点下载就报了

显示全部楼层 · 发表于 2007-9-11 20:57:50

2个htm 1个js 1个图片汗

显示全部楼层 · 发表于 2007-9-11 21:02:27

Drweb 4.33 Miss

显示全部楼层 · 发表于 2007-9-11 21:16:49

Thunder.hta 把这个传上来

显示全部楼层 · 发表于 2007-9-11 21:49:27

红伞压缩包监控未开，下载就拦截了。

显示全部楼层 · 发表于 2007-9-11 22:52:45

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\新建文件夹.rar'
C:\Documents and Settings\Administrator\My Documents\
  新建文件夹.rar
   [DETECTION] Contains suspicious code HEUR/Exploit.HTML
   [WARNING] The file was ignored!
[0] Archive type: RAR
--> Downer.html
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [WARNING] Infected files in archives cannot be repaired!
--> Thunder.html
--> Thunder.js
--> Thunder.jpg
      [WARNING] The file was ignored!

[病毒样本] 新网马样本

本帖子中包含更多资源

红伞报