Gold Install

显示全部楼层 · 发表于 2012-5-24 21:52:27

本帖最后由 360Tencent 于 2012-5-24 22:03 编辑

http://www.xylibox.com/2012/05/g ... e.html#comment-form

http://malc0de.com/database/index.php?search=91.218.38.153

博客里提供的链接失效了，附件是从malc0de 搜索来的

2012-05-24 bciojezteuuebx.in/ftp/ppi/124/id.exe 91.218.38.153 CZ 197145 ASINFIUM Infium Ltd. a86b4058ba7a0794c41482c1c452d4ae

2012-05-24 bciojezteuuebx.in/ftp/ppi/124/sm.exe 91.218.38.153 CZ 197145 ASINFIUM Infium Ltd. befa01d81f409dcafbca8c96ce7cd193

黑市广告

登录界面

News

EXE 文件

反病毒软件特征检测

退出

配置文件

FAQ

sm_2.exe 5月23号VT 在线扫描结果0/42

相关域名情况

• dns: 1 ›› ip: 91.218.38.153 - adresse: GAMEFANS.EU
• dns: 1 ›› ip: 91.218.38.153 - adresse: BCIOJEZTEUUEBX.IN
http://bciojezteuuebx.in/syst/guest.php
http://bciojezteuuebx.in/syst/control.php
http://bciojezteuuebx.in/ftp/ppi/127/id.exe
http://bciojezteuuebx.in/ftp/ppi/127/sm.exe
http://bciojezteuuebx.in/asd.exe

• dns: 1 ›› ip: 46.4.51.177 - adresse: GOLDINSTALLS.ORG

Registrant Name:Ede M Teller
Registrant Organization:Private Person
Registrant Street1:Troppauer Str 32
Registrant Street2:
Registrant Street3:
Registrant City:Oldenburg
Registrant State/Province:
Registrant Postal Code:26135
Registrant Country:DE
Registrant Phone:+41.441201504
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:goldinstalls@gmail.com

http://goldinstalls.org/，输入用户名和密码，然后就~

显示全部楼层 · 发表于 2012-5-24 21:56:58

本帖最后由 humanlwj52 于 2012-5-24 22:09 编辑

ESET killed 1x.

gold install.zip > ZIP > gold install/sm.exe - Win32/TrojanDownloader.Zurgop.AQ 特洛伊木马

To ESET.

__________________________

F-Secure emptied.

C:\Users\TOSHIBA\Desktop\gold install.zip\gold install\id.exe - Suspicious:W32/Malware.655c9d!Online (病毒)
C:\Users\TOSHIBA\Desktop\gold install.zip\gold install\sm.exe - Suspicious:W32/Malware.4379df!Online (病毒)

显示全部楼层 · 发表于 2012-5-24 22:00:42

完整路径: c:\users\wwstu\desktop\sm.exe
威胁: Trojan.Smoaler
____________________________
____________________________
在电脑上的创建时间 2012/5/24 ( 21:58:26 )
上次使用时间 2012/5/24 ( 21:58:26 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
文件: c:\users\wwstu\desktop\sm.exe
已阻止
____________________________
文件指纹 - SHA:
f1f5e1b5c7bd4852b3295f1d6c568f3c6b5e9ef7a0feeee5fcb6668979ac4f59
____________________________
文件指纹 - MD5:
befa01d81f409dcafbca8c96ce7cd193
____________________________

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/5/24 ( 21:59:28 )
上次使用时间 2012/5/24 ( 21:59:28 )
启动项目否
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
wrar411sc.exe

创建的文件:
winrar.exe

创建的文件:
id.exe
____________________________
文件操作
文件: c:\users\wwstu\desktop\id.exe
已删除
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\wwstu\desktop\id.exe, PID:4936)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\wwstu\desktop\id.exe, PID:4936)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2012-5-24 22:05:10

本帖最后由 Dust-;羅錠于 2012-5-24 22:06 编辑

大蜘蛛：
sm.exe infected with Trojan.Tenagour.9

显示全部楼层 · 发表于 2012-5-24 22:06:10

avg殺

显示全部楼层 · 发表于 2012-5-24 22:09:13

AVIRA
--> gold install/id.exe
[偵測] Is the TR/Dldr.Small.DC Trojan
--> gold install/sm.exe
[偵測] Is the TR/Dldr.Dofoil.O.41 Trojan

显示全部楼层 · 发表于 2012-5-24 22:17:21

MSE 搞定

显示全部楼层 · 发表于 2012-5-24 22:28:21

本帖最后由英九于 2012-5-24 22:31 编辑

显示全部楼层 · 发表于 2012-5-25 00:36:29

显示全部楼层 · 发表于 2012-5-26 13:03:55

[病毒样本] Gold Install

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源