0199游戏木马变种

vm001

钓鱼网址
http://www.garne0l99.com:71/

安装包下载连接
http://game0199.gz.bcebos.com/01 ... 79405f0d66730912a28

安装包微云下载（我上传的）
http://share.weiyun.com/02980eb25c46c40327195062029b50ed

木马样本


安装完毕后，桌面快捷方式指向游戏升级程序


运行桌面快捷方式，游戏升级程序启动游戏主程序
游戏主程序加载directx库文件
而木马就是把恶意文件伪装为d3dx9_28.dll，把真正的d3dx9_28.dll改名字（就是-长了一个点）


然后来链接远程地址

驭龙

木马样本，我这里的SEP 14没杀

轩夏

MSE miss

ytysh

AegisLab        Troj.W32.Gen.lLnX        20160927
Qihoo-360        Trojan.Generic        20160927

kbsj123321

文件名: d3dx9_28.dll
威胁名称: WS.Reputation.1完整路径: c:\users\administrator\downloads\d3dx9_28.dll

____________________________

____________________________


在电脑上 
2016/9/27 星期二 ( 11:23:27 )

上次使用时间 
2016/9/27 星期二 ( 11:25:27 )

启动项 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


d3dx9_28.dll 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... Tk5Mzh8MjA1ODM1NA==
已下载文件 从 att.kafan.cn
来源: 外部介质

d3dx9_28.dll

____________________________

文件操作

文件: c:\users\administrator\downloads\ d3dx9_28.dll 已删除
____________________________


文件指纹 - SHA:
e14f7ff08e13039e7bfc08f9889e7d0dc0a1d4b0f02d9af12f4ef3e3c10ebfdc
文件指纹 - MD5:
不可用

欧阳宣

avira

[INFO]      The file 'D:\Virus\Desktop\d3dx9_28.dll' has been uploaded to the Protection Cloud and analyzed.

Eset小粉絲

欧阳宣 发表于 2016-9-27 11:43
avira

      The file 'D:\Virus\Desktop\d3dx9_28.dll' has been uploaded to the Protection Cloud an ...

宣大也加入傘兵團了？

sanhu35

很隐蔽

windows7爱好者

驭龙 发表于 2016-9-27 10:10
木马样本，我这里的SEP 14没杀

这个只有下载保护万物杀可以杀

驭龙

windows7爱好者 发表于 2016-9-27 18:52
这个只有下载保护万物杀可以杀

然而我等的智能下载分析，不支持压缩包，所以就这样了