查看: 5394|回复: 3
收起左侧

PcOnline被挂马,发出样本和简单分析 BY dikex

[复制链接]
起点
发表于 2006-12-3 21:04:35 | 显示全部楼层 |阅读模式
PcOnline被挂马,发出样本和简单分析

http://www.pconline.com.cn/news/hr/weekly099/index.html
这是pconline产业资讯的第99期杂志,今天上的时候卡巴竟然叫了!

QUOTE:
已删除: 木马程序 Trojan-Downloader.VBS.Psyme.dk        文件: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NQ07VXOX\kehu[1].htm

马是在是这个统计页面(http://softd.ppandora.com/wm.htm)里面的http://wydos.3322.org/kehu.htm




这马喜欢使用服务,在系统里弄了一堆东西-_-~~~~

文件生成:
(1)System32目录下dllhost32.dll、ePower.exe、NetSystem.dll、NetSystem.exe、nsvc.exe、zaIHxW.exe(随机文件名)、KUIvOljK.sys(随机文件名),delname.bat(会自动删除)
(2)C:\Documents and Settings\Administrator\Local Settings\Temp下生成cWLtDkAy(随机文件名)、mdb.exe、zFdXYA.exe(随机文件名)
(3)IE缓存下有bear[1].exe、kehu[1].exe、2[1].exe、down[1].htm、kl[1].exe、klnew[1].exe

隐藏进程:
C:\WINDOWS\system32\NetSystem.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

添加服务:
DHCPServee (Dhccar) - Unknown owner - C:\WINDOWS\system32\zaIHxW.exe(随机文件名)
klwy.3322.org - Unknown owner - C:\WINDOWS\system32\nsvc.exe
NetSystem -(Not verified)Microsoft Corporation - c:\windows\system32\netsystem.exe

另外有个驱动System SSDP Services/sysdrver - C:\WINDOWS\system32\KUIvOljK.sys(随机文件名)



在system32下面的病毒样本,这个不是广告那么简单了

QUOTE:
AntiVir 7.2.0.46 11.28.2006 BDS/Pakes.F
Authentium 4.93.8 11.29.2006 Possibly a new variant of W32/Threat-IKNP-based!Maximus
Avast 4.7.892.0 11.28.2006 Win32:Qqrob-BK
AVG 386 11.28.2006 Generic2.KPM
BitDefender 7.2 11.29.2006 DeepScan:Generic.Malware.dld!!.B8D9289E
CAT-QuickHeal 8.00 11.28.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.29.2006  no virus found
DrWeb 4.33 11.28.2006 DLOADER.Trojan
eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.71 11.29.2006 Win32/QQRob.3vi!DLL!Trojan
eTrust-Vet 30.3.3221 11.29.2006 Win32/Endnum.A
Ewido 4.0 11.28.2006 Trojan.QQRob.gi
Fortinet 2.82.0.0 11.29.2006 PossibleThreat!015892
F-Prot 3.16f 11.28.2006 Possibly a new variant of W32/Downloader-Sml-based!Maximus
F-Prot4 4.2.1.29 11.28.2006 W32/Downloader-Sml-based!Maximus
Ikarus 0.2.65.0 11.28.2006 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 11.29.2006 Trojan-PSW.Win32.Agent.hj
McAfee 4906 11.28.2006 New RootKit
Microsoft 1.1804 11.28.2006  no virus found
NOD32v2 1888 11.28.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 11.28.2006 W32/Malware
Panda 9.0.0.4 11.28.2006 Trj/Radoppan.B
Prevx1 V2 11.29.2006  no virus found
Sophos 4.11.0 11.16.2006 Mal/Packer
TheHacker 6.0.3.126 11.29.2006  no virus found
UNA 1.83 11.28.2006  no virus found
VBA32 3.11.1 11.28.2006 Trojan.NtRootKit.172
VirusBuster 4.3.15:9 11.28.2006 Trojan.Pangu.Gen.1



[ 本帖最后由 navigateqd 于 2006-12-3 21:26 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Oceanzd
发表于 2006-12-3 23:24:01 | 显示全部楼层
现在大网站的马还真多,不知道怎么上了

怀疑哪天卡饭挂上马了 希望不要如此
a99645629
发表于 2006-12-4 20:03:35 | 显示全部楼层
PcOnline都给挂了,那我不装杀毒怎么办?
fsmylc
发表于 2006-12-5 09:12:33 | 显示全部楼层
俺进去没有任何反映啊。。。。也没发现这些
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 20:30 , Processed in 0.121280 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表