召唤hunters

显示全部楼层 · 发表于 2008-4-3 22:25:06

clsid:77829F14-D911-40FF-A2F0-D11DB8D6D0BC

NCTAudioFile2 ActiveX远程栈溢出漏洞

显示全部楼层 · 发表于 2008-4-3 22:36:39

C:\Users\Wesley\Downloads\ow7a7x\ow7a7x.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

显示全部楼层 · 发表于 2008-4-3 22:51:06

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\mail[1].rar'
C:\Documents and Settings\Administrator\My Documents\
  mail[1].rar
[0] Archive type: RAR
--> mail[1].htm
      [DETECTION] Contains suspicious code HEUR/HTML.Malware
   [NOTE]    The file was deleted!

显示全部楼层 · 发表于 2008-4-4 09:37:54

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.A52ABCA6B4374C8\桌面\OW7A7X.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\DRIVERS\SVCHOST.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2008-4-4 11:01:19

原帖由 lx1234 于 2008-4-3 22:06 发表
C:\Documents and Settings\LX\桌面\mail[1].rar > RAR > mail[1].htm - JS/TrojanDownloader.Iframe.EY.gen 特洛伊木马

少见，NOD竟然报了
4楼的不认识

显示全部楼层 · 发表于 2008-4-4 12:09:06

小红伞直接拦

显示全部楼层 · 发表于 2008-4-4 12:32:24

显示全部楼层 · 发表于 2008-4-4 13:57:39

附件金山没报

显示全部楼层 · 发表于 2008-4-4 14:14:55

原帖由 zzh161 于 2008-4-4 12:32 发表

有这么一句哦

cgi，动态页面的一种，估计有检测IP或者cookies

这个东西以前见过，arguments.callee，解完一层后调用一脚本：
http://78.109.18.210/cgi-bin/n2/mail.cgi?x=2671040329&n=1144004727&h=63319405&r=606868581&

这个脚本可以解得某网马，利用漏洞：
BD96C556-65A3-11D0-983A-00C04FC29E36
Sb.SuperBuddy
77829F14-D911-40FF-A2F0-D11DB8D6D0BC
GomWebCtrl.GomManager.1
WebViewFolderIcon.WebViewFolderIcon.1

马的地址：http://78.109.18.210/cgi-bin/n2/mail.cgi?05010226020000000003c62d6d242c14659f34d749

还有一些函数，懒得看

显示全部楼层 · 发表于 2008-4-4 18:07:24

D:\download\ow7a7x.zip>>ow7a7x.exe Backdoor.Omhpac.cwsp 后门还未处理
D:\download\mail[1].rar>>mail[1].htm TrojanDownloader.JS.ActiveX.al.xjlo 木马还未处理

[已鉴定] 召唤hunters

Avira AntiVir 8