DNF拍卖行骗子系列

显示全部楼层 · 发表于 2015-8-11 23:55:03

DNF拍卖行骗子系列
你的传承太贵了，便宜点什么的，加我QQ！
呵呵，我当然知道他要发文件过来，他发送的是文件夹
我打包了下
两个文件其实一样，只是图片不同！

显示全部楼层 · 发表于 2015-8-11 23:59:30

估计是远控，之前也有相同的例子，另AVIRA miss

显示全部楼层 · 发表于 2015-8-12 00:02:34

aboringman 发表于 2015-8-11 23:59
估计是远控，之前也有相同的例子，另AVIRA miss

那个png.bat里的文字为什么是乱码呢？我闹不明白，是不是真实的文件类型是.exe的？

显示全部楼层 · 发表于 2015-8-12 00:07:32

本帖最后由 1518589226 于 2015-8-12 02:15 编辑

第一个快捷方式指向里面CMD运行bat
第二个｛第一个快捷方式 cmd运行bat ，第二个快捷方式 rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\addons\addons.inf,DefaultInstall,,32 ｝
FSCS12全部 miss

显示全部楼层 · 发表于 2015-8-12 00:08:45

本帖最后由 Flying_Bird 于 2015-8-12 00:10 编辑

沧桑浪子发表于 2015-8-12 00:02
那个png.bat里的文字为什么是乱码呢？我闹不明白，是不是真实的文件类型是.exe的？

用ultraedit打开

显示全部楼层 · 发表于 2015-8-12 00:09:24

1518589226 发表于 2015-8-12 00:07
第一个快捷方式指向里面CMD运行bat 文件是加密的所以FSCS12果断 miss
第二个｛第一个快捷方式 cmd运行b ...

你的意思是bat里的代码是加密的？所以我们看到的都是乱码？

显示全部楼层 · 发表于 2015-8-12 00:10:35

沧桑浪子发表于 2015-8-12 00:09
你的意思是bat里的代码是加密的？所以我们看到的都是乱码？

并没有加密

显示全部楼层 · 发表于 2015-8-12 00:11:26

to eset

显示全部楼层 · 发表于 2015-8-12 00:11:30

发现一个比较详细的分析
http://blogs.360.cn/360safe/2014/08/29/cnc_trojan_and_fake_proto/

显示全部楼层 · 发表于 2015-8-12 00:12:13

上面各种回答让人醉，我来解答吧，这需要转码，OK？否则看到的就是乱码

[病毒样本] DNF拍卖行骗子系列

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块