分析一个灰常狠的下载者木马[百度新浪全都有份]

KLLIMKNE

这个帖子里看到的:http://bbs.kafan.cn/thread-1792087-1-1.html

软件是在这里下载到的:http://www.fg740.com/
伪造某知名穿墙软件的官网

微点弹了二十多个危险联网警报，截图四个做样本吧，都截下来也不大实际：



其实根据安装包的大小一看便知就是下载者木马：



一般这种下载者木马在Sandboxie里运行就可以了

下载者木马自动下载安装的软件有:

上海硬通网络科技有限公司-大天使之剑

北京新浪互联信息服务有限公司-新浪秀场(下载安装界面还无耻的说"经过360认证安全")

北京百度网讯科技有限公司-百度卫士(呵呵,又是伟大的百度"安全"软件，这种事情貌似百度干得多了我也有点麻木了。。。当然哪些准备开喷的写别急，有个条件:别跟我扯什么国产杀软都这样，360从来不病毒推广，金山自从黑鹰病毒事件后也老实了)

9377网页游戏平台,并且还是360游戏中心代{过}{滤}理的-魅影传说

软件截图如下，由于用的沙盘运行，所以百度杀毒截图截下了黄框子：





以及一个恶意网站：http://dnserror.junshi.cc/dnserror2/index.html
360网站备案认定其为个人网站"军事新闻网":http://www.junshi.cc/附属网址

@leesview

当然如果本帖有不和谐之处，或者是如果某些公司公关部门要抗议的话，斑竹锁掉也无所谓

KLLIMKNE

二楼样本，密码[vir]：

imcw

ESS阻止下载链接

KLLIMKNE

imcw 发表于 2014-12-7 23:40
ESS阻止下载链接

我靠，姑凉，自己给自己加人气好玩么？

1094947421

红伞miss，火绒杀。

QQ1014530747

KLLIMKNE 发表于 2014-12-7 23:42
我靠，姑凉，自己给自己加人气好玩么？

点击你就会发现了。

kfln12

kafan残奴鹰做党的走狗，全家必然暴毙。。等着吧，老子社到他的号陪她玩死。

胖福

文件名: malupol407l1967.exe
威胁名称: WS.Reputation.1
完整路径: f:\norton样本\临时收集\malupol407l1967.exe
____________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 中

原始
下载自
 http://1417995055.freegongkao.co ... t=ba2a9926141799565

活动
已执行的操作: 已执行的操作: 1
____________________________

在电脑上的创建时间 
2014-12-8 ( 7:30:19 )

上次使用时间 
2014-12-8 ( 7:32:19 )

启动项目 
否

已启动 
否
____________________________

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全



____________________________


http://1417995055.freegongkao.co ... =ba2a99261417995655

已下载文件 malupol407l1967.exe 威胁名称: WS.Reputation.1
自 freegongkao.com

来源: 外部介质

malupol407l1967.exe
____________________________

文件操作

受感染文件: f:\norton样本\临时收集\ malupol407l1967.exe 已删除
____________________________

文件指纹 - SHA:
f76e43bef893e81f6d71ddaaa69dca7fafe96f04a81ead04406e7857fb6d39cb
文件指纹 - MD5:
不可用

s22962000

1094947421 发表于 2014-12-8 00:03
红伞miss，火绒杀。

紅傘右鍵會miss (右鍵掃描不含apc)

APC云  只在"雙擊"或是 對文件 "右鍵 看屬性"才會觸發
右鍵 看屬性 apc殺

1094947421

s22962000 发表于 2014-12-8 10:32
紅傘右鍵會miss (右鍵掃描不含apc)

APC云  只在"雙擊"或是 對文件 "右鍵 看屬性"才會觸發

双击被火绒先杀了