u88财富快车 微点拦截后门行为

Nblock

http://www.anyliz.com/blog/article.asp?id=239yiz
360: 一支高级Rootkit的分析

[ 本帖最后由 Nblock 于 2008-1-12 22:39 编辑 ]

wangjay1980

干嘛

Nblock

后门样本

woai_jolin

wangjay1980

1

Graybird

上报antivir~

zzh161

费尔杀掉

楼主贴的那个网址是啥

傻猪猪米走鸡

F:\virus\U88SETUP.rar » RAR » U88SETUP.EXE - Win32/Linkre.C trojan - was a part of the deleted object
F:\virus\U88SETUP.rar - Win32/Linkre.C trojan - deleted - quarantined

zwl2828

U88SETUP字符串（节选）：

00005044   00405044      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE5dat
00005098   00405098      0   [InternetShortcut]
000050AC   004050AC      0   URL=http://www.u88.cn/?friendlink=u88shortcut
000050DB   004050DB      0   Hotkey=0
000050E5   004050E5      0   IconIndex=0
File pos   Mem pos      ID   Text
========   =======      ==   ====
000050F2   004050F2      0   IconFile=%s
000050FF   004050FF      0   WorkingDirectory=
00005112   00405112      0   ShowCommand=1
00005124   00405124      0   C:\Program Files\Internet Explorer\2052
0000514C   0040514C      0   explorer http://www.u88.cn/shortcut/u88new.asp
000051A8   004051A8      0   setupPath
000051B8   004051B8      0   can not open the file or file is not exit!
000051E8   004051E8      0   \update.dat
000051F4   004051F4      0   SOFTWARE\Microsoft\WINDOWS\CURRENTVERSION\UNINSTALL\IE5DAT
00005238   00405238      0   \U88.exe
00005244   00405244      0   \IEHelper.dll
00005254   00405254      0   \WebBand.dll
00005264   00405264      0   regsvr32 /s "%s"  
00005278   00405278      0   \toolbarU88.dll
00005288   00405288      0   c:/Program Files/Internet Explorer/2052/u88.Ico
000052B8   004052B8      0   HotIcon
000052C0   004052C0      0   {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}
000052E8   004052E8      0   Clsid
000052FC   004052FC      0   Button Text
0000530C   0040530C      0   Default visible
0000531C   0040531C      0   Software\Microsoft\Internet Explorer\Extensions\{9239E4EC-C9A6-11D2-A844-00C04F68D538}
00005374   00405374      0   Software\classes\folder\shell\U88
000053A0   004053A0      0   Software\classes\*\shell\U88
000053C8   004053C8      0   contexts
000053D4   004053D4      0   c:\Program Files\Internet Explorer\2052\contextmenu.htm
00005410   00405410      0   SOFTWARE\Microsoft\INTERNET EXPLORER\MenuExt\U88
0000544C   0040544C      0   C:\Program Files\Internet Explorer\2052\setup.tmp
00005484   00405484      0   C:\Program Files\Internet Explorer\IE Uninstall\aupdate.exe
000054C0   004054C0      0   C:\Program Files\Internet Explorer\2052\toolbarU88.dll
000054F8   004054F8      0   C:\Program Files\Internet Explorer\2052\IEHelper.dll
00005530   00405530      0   C:\Program Files\Internet Explorer\2052\aupdate.exe
00005564   00405564      0   Start Page
00005570   00405570      0   http://www.u88.cn/?friendlink=u88shortcut
000055F4   004055F4      0   Software\Microsoft\Internet Explorer\Main
00005620   00405620      0   uninstall.exe
00005630   00405630      0   u88.URL
00005658   00405658      0   \unInstall.exe
00005668   00405668      0   unInstall.exe
00005678   00405678      0   U88.URL
00005680   00405680      0   unInstall.lnk
00005698   00405698      0   U88.lnk
000056A0   004056A0      0   \u88icon.ico
000056B0   004056B0      0   u88.url
000056BC   004056BC      0   u88.lnk
000056C4   004056C4      0   Software\Microsoft\Internet Explorer\Extensions\{3FFD59AA-280D-4AB3-B420-0CFF2B332316}
0000571C   0040571C      0   Software\Microsoft\Windows\CurrentVersion\Run

saga3721

原帖由 Graybird 于 2008-1-12 23:05 发表
上报antivir~

这个用不着，运行报TR/Linkre.C.1