hxxp://www.hztg.net挂马不完全分析

zzh161

弄了好久，不过发现网马的下载地址总是那几个，网马也就那几个，重复的样本我没有剔除，估计都是很老的
最近学习抓马的时候发现网马的下载地址大部分都是指向这几个地址

被挂的链接

hxxp://sp.070808.net/23.htm
hxxp://w.aeaer.com/ae.htm
hxxp://www.999da.cn/hhh.htm
hxxp://qi.ccbtv.net/btv.htm
hxxp://xxx.9yimeiyuan.com/xx.htm?id=017  该页无法显示
hxxp://xxx.hao1680.com/xx.htm?id=017
hxxp://www.99391.net/s6.htm   该页无法显示
hxxp://acc.jqxx.org/live/index.htm  该页无法显示

网马的地址

hxxp://sp.070808.net/in.htm
hxxp://az.sbb22.com/hh.htm
hxxp://um.uuzzvv.com/uu.htm
hxxp://fa.55189.net/
hxxp://wc.070808.net/98.htm
hxxp://ad.jopenqb.com/wm/g15.htm
hxxp://ad.jopenqb.com/wm/dm.htm
hxxp://ppp.749571.com/dm/diao.htm
hxxp://ppp.749571.com/dm/rl.htm
hxxp://ppp.749571.com/dm/rr.htm
hxxp://ppp.749571.com/dm/q.htm
hxxp://w.hcden.com/nb.htm
   {hxxp://nguijal1.bkyes.com/ad/ad.cab  
    hxxp://nguijal1.bkyes.com/ad/pps.exe
    hxxp://nguijal1.bkyes.com/ad/bf.exe
    hxxp://nguijal1.bkyes.com/ad/014.exe
   }
hxxp://w.hcden.com/nc.htm   hxxp://nguijal1.bkyes.com/ad/rl.exe
hxxp://w.hcden.com/nd.htm   hxxp://nguijal1.bkyes.com/ad/q.exe
hxxp://37586.com/uuu/r.htm  hxxp://web.47255.com/uuu/uuu.exe
hxxp://37586.com/uuu/index.htm  hxxp://37586.com/uuu/uuu.exe
hxxp://service-google.cn/vip/wm2/index.html
   {hxxp://service-google.cn/vip/wm2/2.gif  hxxp://down.malasc.cn/614.exe
    hxxp://service-google.cn/vip/wm2/3.gif  hxxp://down.malasc.cn/qvod.exe
    hxxp://service-google.cn/vip/wm2/8.gif  hxxp://down.malasc.cn/real2.exe
    hxxp://service-google.cn/vip/wm2/9.gif  hxxp://down.malasc.cn/real.exe
    hxxp://service-google.cn/vip/wm2/1.gif  hxxp://down.malasc.cn/bf.exe
    hxxp://service-google.cn/vip/wm2/5.gif  hxxp://down.malasc.cn/pps.exe
    hxxp://service-google.cn/vip/wm2/6.gif  hxxp://down.malasc.cn/lz.exe
    hxxp://service-google.cn/vip/wm2/7.gif  hxxp://down.malasc.cn/lz2.exe
   }
hxxp://xxx.hao1680.com/wm/rl.js   hxxp://qqq.qq1680.com/dod.exe
hxxp://xxx.hao1680.com/wm/jh.htm
   {hxxp://xxx.hao1680.com/wm/11.js   hxxp://qqq.qq1680.com/dod.exe
    hxxp://xxx.hao1680.com/wm/bb.js   hxxp://qqq.qq1680.com/dod.exe
    hxxp://xxx.hao1680.com/wm/ppp.js  hxxp://qqq.qq1680.com/dod.exe
    hxxp://xxx.hao1680.com/wm/lz.js   hxxp://qqq.qq1680.com/dod.exe
   }

样本：

PS：费尔有一个报启发

Graybird

Starting the file scan:

Begin scan in 'E:\��.rar'
E:\��.rar
  [0] Archive type: RAR
  --> н¨Îļþ¼Ð\014.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\614.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\bd.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\bf(1).exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\bf.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\dod.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\lz.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\lz2.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\pps(1).exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\pps.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\q.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\qvod.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\real.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\real2.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
  --> н¨Îļþ¼Ð\rl.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> н¨Îļþ¼Ð\uuu(1).exe
      [DETECTION] Contains detection pattern of the worm WORM/Cekar.A
  --> н¨Îļþ¼Ð\uuu.exe
      [DETECTION] Contains detection pattern of the worm WORM/Cekar.A
      [INFO]      The file was deleted!


End of the scan: 2008年1月18日  23:40
Used time: 00:28 min

The scan has been done completely.

      0 Scanning directories
     18 Files were scanned
     17 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      1 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      1 Files not concerned
      1 Archives were scanned
      0 Warnings
      0 Notes

傻猪猪米走鸡

D:\firefox download\毒.rar » RAR » 新建文件夹\014.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\614.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\bd.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\bf(1).exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\bf.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\dod.exe - a variant of Win32/TrojanDownloader.Small.HLV trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\lz.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\lz2.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\pps(1).exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\pps.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\q.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\qvod.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\real.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\real2.exe - probably a variant of Win32/Genetik trojan
D:\firefox download\毒.rar » RAR » 新建文件夹\rl.exe - Win32/Jalous.AC worm
D:\firefox download\毒.rar » RAR » 新建文件夹\uuu(1).exe - a variant of Win32/Anilogo worm
D:\firefox download\毒.rar » RAR » 新建文件夹\uuu.exe - a variant of Win32/Anilogo worm

solcroft

奇怪
刚才我上去的时候nod32漏了一个下载者
楼主少抓一个？还是eset入库了？

spatra

C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\014.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\614.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\bd.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\bf(1).exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\bf.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\dod.exe - Win32/TrojanDownloader.Small.HLV 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\lz.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\lz2.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\pps(1).exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\pps.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\q.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\qvod.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\real.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\real2.exe - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\rl.exe - Win32/Jalous.AC 蠕虫 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\uuu(1).exe - Win32/Anilogo 蠕虫 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar ?RAR ?新建文件夹\uuu.exe - Win32/Anilogo 蠕虫 的变种 - 是已删除对象的一部分
C:\Documents and Settings\Administrator\桌面\毒.rar - 多个威胁 - 已删除 - 已隔离


但用IE进去NOD 32 ESS没有提示啊...

欠妳緈諨

17

zzh161

我这里有几个网页不能显示，估计是少抓了

wangjay1980

K

jimmyleo

补上可能漏掉的几个



Found [  WORM_JALOUS.AN](    1) in D:\download\virusscan\collection.rar,(14.exe)
Found [ TSPY_ONLINEG.WN](    1) in D:\download\virusscan\collection.rar,(newrl.exe)
Found [   TROJ_SMALL.VG](    1) in D:\download\virusscan\collection.rar,(pic.exe)
Found [  WORM_JALOUS.AN](    1) in D:\download\virusscan\collection.rar,(q.exe)
Found [  PACKER-GEN.001](    1) in D:\download\virusscan\collection.rar,(bak.css)

趋势 5

Graybird

Starting the file scan:

Begin scan in 'E:\collection.rar'
E:\collection.rar
  [0] Archive type: RAR
  --> 14.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> newrl.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Small.hsh.4
  --> pic.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.hlb.1
  --> q.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Agent.45056
  --> bak.css
      [DETECTION] Is the Trojan horse TR/Drop.Agent.8848
      [INFO]      The file was deleted!