N层壳

qwer9909

C:\Documents and Settings\Administrator\桌面\download.rar>>download.exe        Heuri.Possible/Packed        启发式扫描        还未处理

gho

Scanning Report
08 April 2008 16:40:27 - 16:41:28
Computer name: CN-89FF4B9EA4D6
Scanning type: Scan target
Target: E:\Documents and Settings\Administrator\×ÀÃæ\download.exe


--------------------------------------------------------------------------------

Result: 1 malware found
Trojan-Downloader.Win32.Banload.hna (virus)
E:\Documents and Settings\Administrator\×ÀÃæ\download.exe Action: renamed




--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 1
Not scanned: 0
Result:
Viruses: 1
Spyware: 0
Suspicious items: 0
Riskware: 0
Actions:
Disinfected: 0
Renamed: 1
Deleted: 0
Quarantined: 0
Failed: 0
Boot Sectors:
Scanned: 0
Infected: 0
Suspicious items: 0
Disinfected: 0


--------------------------------------------------------------------------------

Options
Definitions version:
Viruses: 2008-04-08_03
Spyware: 2008-04-08_03
Scanning Engines:
F-Secure AVP: 7.00.171, 2008-04-08
F-Secure Libra: 2.04.04, 2008-04-04
F-Secure Orion: 1.02.38, 2008-04-08
F-Secure Draco: 1.00.35, 2008-04-02
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Scan inside archives
Actions:
Viruses: Ask after scan
Spyware: Ask after scan

啊弥陀佛

微点砍掉

timhas266

Start of the scan: Tuesday, 8 April, 2008  17:23
Starting the file scan:
Begin scan in 'C:\Documents and Settings\Tim\桌面\download.rar'
C:\Documents and Settings\Tim\桌面\download.rar
  [0] Archive type: RAR
  --> download.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Banload.hna.2
      [INFO]      A backup was created as '48723a10.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!

End of the scan: Tuesday, 8 April, 2008  17:23
Used time: 00:04 min
The scan has been done completely.
      0 Scanning directories
      3 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      1 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      2 Files not concerned
      1 Archives were scanned
      0 Warnings
      0 Notes

aribeth199

咖啡，木马。

千里同风

对主动防御来说，只要不加死，加N层壳与不加一样

28654621

D:\download\download.rar>>download.exe        TrojanDownloader.Banload.hna.vcix        木马        还未处理

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Backdoor.Win32.Gpigeon.abu

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.39.10

BING126

McAfee        New Malware.u

黄金马甲出租

00405670         . 68 74 74 70 3A 2>ascii "http://123.wwwwo"
00405680         . 6F 6C 2E 63 6E 2>ascii "ol.cn/last.exe",0


下载完毕后保存到ｃ：盘根目录下执行，哎，有是很多层

00407627          FF15 2CB14000      call dword ptr ds:[40B12C]                ; USER32.GetWindowTextA
0040762D          8D85 F8FDFFFF      lea eax,dword ptr ss:[ebp-208]
00407633          68 98DB4100        push last_unp.0041DB98                    ; ASCII "#32770"
00407638          50                 push eax
00407639          E8 602B0000        call last_unp.0040A19E                    ; jmp to MSVCRT.strstr
0040763E          8B35 30B14000      mov esi,dword ptr ds:[40B130]             ; USER32.PostMessageA
00407644          59                 pop ecx
00407645          85C0               test eax,eax
00407647          59                 pop ecx
00407648          74 17              je short last_unp.00407661
0040764A          8D85 FCFEFFFF      lea eax,dword ptr ss:[ebp-104]
00407650          68 20DF4100        push last_unp.0041DF20
00407655          50                 push eax
00407656          E8 3D2B0000        call last_unp.0040A198                    ; jmp to MSVCRT.strcmp
0040765B          59                 pop ecx
0040765C          85C0               test eax,eax
0040765E          59                 pop ecx
0040765F          74 17              je short last_unp.00407678
00407661          8D85 FCFEFFFF      lea eax,dword ptr ss:[ebp-104]
00407667          68 8CDB4100        push last_unp.0041DB8C                    ; ASCII "KAVStart"
0040766C          50                 push eax
0040766D          E8 2C2B0000        call last_unp.0040A19E                    ; jmp to MSVCRT.strstr

//模拟点击试图过金山

0040970C          68 BCDB4100        push last_unp.0041DBBC                    ; ASCII " -k"
00409711          50                 push eax
00409712          FF15 9CB04000      call dword ptr ds:[40B09C]                ; kernel32.lstrcatA
00409718          6A 01              push 1
0040971A          68 B80B0000        push 0BB8
0040971F          8D85 E4FBFFFF      lea eax,dword ptr ss:[ebp-41C]
00409725          68 1CDE4100        push last_unp.0041DE1C                    ; ASCII "91E002E4"
0040972A          50                 push eax
0040972B          BE 10D64100        mov esi,last_unp.0041D610                 ; ASCII "523371FD"
00409730          68 10D54100        push last_unp.0041D510                    ; ASCII "523371FD"
00409735          56                 push esi
00409736          E8 9D030000        call last_unp.00409AD8

0012FAEC   0012FB08 ASCII "C:\windows\system32\6B99EA3C.EXE -k"

//自拷贝

创建一个同名服务，吐一个同名ｄｌｌ，加载后提权、注入、下载、放ａｕｔｏ，貌似ａｖ终结者～～

[ 本帖最后由 黄金马甲出租 于 2008-4-8 21:29 编辑 ]