收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 哎- -同学电脑里的
12
返回列表 发新帖
楼主: ┵¢urtain〆
 收起左侧

[病毒样本] 哎- -同学电脑里的

[复制链接]
ranguangning
头像被屏蔽
发表于 2008-6-8 20:09:39 | 显示全部楼层
    地址                          反汇编                                    文本字串
00401033   MOV DWORD PTR DS:[ESI],brvdfbeq.004064E8  |r@
004011FF   MOV EAX,brvdfbeq.00406460                 $%@
004012B2   MOV EBX,brvdfbeq.00408064                 http://
004012DF   PUSH brvdfbeq.00408058                    <a href='
004012F5   PUSH brvdfbeq.0040803C                    ' target='_blank'>test</a>
00401377   MOV DWORD PTR DS:[ESI],brvdfbeq.004066C8  `s@
004013F5   PUSH brvdfbeq.0040806C                    seshutdownprivilege
004014A8   PUSH brvdfbeq.004080CC                    c:\
004014B9   PUSH brvdfbeq.004080B4                    documents and settings\
004014CA   PUSH brvdfbeq.004080A8                    all users\
004014DB   PUSH brvdfbeq.00408098                    「开始」菜单\
004014EC   PUSH brvdfbeq.00408090                    程序\
004014FD   PUSH brvdfbeq.00408088                    启动\
00401530   PUSH brvdfbeq.00408080                    .exe
0040167D   PUSH brvdfbeq.004080D0                    mfcshareddll
0040169C   PUSH brvdfbeq.004080D0                    mfcshareddll
00401745   PUSH brvdfbeq.004080E0                    #32770
00401755   MOV DWORD PTR SS:[EBP-14],brvdfbeq.00408  mfcshareddll
00401804   PUSH brvdfbeq.004080FC                    103306
004018F5   PUSH brvdfbeq.00408114                    \n%s\n
00401D53   PUSH brvdfbeq.0040811C                    read error
00401F6B   PUSH brvdfbeq.00408150                    ntdll.dll
00401F87   PUSH brvdfbeq.00408138                    rtlinitunicodestring
00401F8F   PUSH brvdfbeq.00408128                    zwopensection
0040203C   MOV DWORD PTR SS:[EBP-10],brvdfbeq.00408  current_user
004020D6   PUSH brvdfbeq.0040816C                    \
004023E6   PUSH brvdfbeq.0040819C                    58.49.58.20
00402416   PUSH brvdfbeq.004081A8                    alc6150
004024A9   MOV DWORD PTR DS:[ESI],brvdfbeq.004068E4  |r@
0040252A   MOV EAX,brvdfbeq.00406808                 $%@
0040281E   PUSH brvdfbeq.004080CC                    c:\
00402968   PUSH brvdfbeq.004081C0                    \\.\
00402998   PUSH brvdfbeq.004081B0                    ntcreatesection
0040299D   PUSH brvdfbeq.00408150                    ntdll.dll
00402AB3   PUSH brvdfbeq.004081E8                    0
00402EFE   PUSH brvdfbeq.004080D0                    mfcshareddll
00402F3E   MOV DWORD PTR SS:[ESP],brvdfbeq.004081D8  d:\thumbs.dob
00402F4A   PUSH brvdfbeq.004081D4                    rb
00403015   PUSH brvdfbeq.004080FC                    103306
0040307B   PUSH brvdfbeq.004081D0                    \
004030A2   PUSH brvdfbeq.004081C8                    .dll
004032D5   PUSH brvdfbeq.004081EC                    t
004037AE   PUSH brvdfbeq.00408250                    *
00403847   PUSH brvdfbeq.0040824C                    %d
004039A0   PUSH brvdfbeq.0040824C                    %d
00403ACE   PUSH brvdfbeq.0040824C                    %d
00403C73   PUSH brvdfbeq.004081D0                    \
00403CA2   PUSH brvdfbeq.00408244                    .tmp
00403CCA   PUSH brvdfbeq.004081D4                    rb
00403D19   MOV DWORD PTR SS:[ESP],brvdfbeq.00408228  \windows\system32\sc.exe
00403D2B   MOV DWORD PTR SS:[ESP],brvdfbeq.00408208  \windows\system32\regedt32.exe
00403D3D   MOV DWORD PTR SS:[ESP],brvdfbeq.004081F0  \windows\regedit.exe
00404078   PUSH brvdfbeq.00408254                    000000
004040F1   PUSH brvdfbeq.004082D4                    ieframe
00404105   PUSH brvdfbeq.004082B0                    internet explorer_tridentdlgframe
00404137   PUSH brvdfbeq.004080E0                    #32770
00404175   PUSH brvdfbeq.004082A4                    任务管理器
0040418D   PUSH brvdfbeq.00408298                    服务器正在
004041A2   PUSH brvdfbeq.00408290                    cript
004041B3   PUSH brvdfbeq.0040828C                    :\
004041C8   PUSH brvdfbeq.00408288                    ://
004041DD   PUSH brvdfbeq.00408280                    内存
004041EE   PUSH brvdfbeq.00408278                    rror
004041FF   PUSH brvdfbeq.00408274                    安
00404210   PUSH brvdfbeq.00408270                    错
00404221   PUSH brvdfbeq.0040825C                    internet explorer
004042CA   MOV EAX,brvdfbeq.004080D0                 mfcshareddll
00404588   MOV ESI,brvdfbeq.004081D0                 \
004045B1   PUSH brvdfbeq.004082DC                    *.*
004047F1   PUSH brvdfbeq.004082D4                    ieframe
00404842   PUSH brvdfbeq.004082F8                    cnz
004048B4   PUSH brvdfbeq.004082F4                    wb
00404903   PUSH brvdfbeq.004082F0                    /s
00404921   PUSH brvdfbeq.004082E0                    regsvr32.exe
0040496B   PUSH brvdfbeq.0040842C                    software\microsoft\internet explorer\main\
00404990   PUSH brvdfbeq.00408428                    no
0040499B   PUSH brvdfbeq.00408424                    %s
004049D2   PUSH brvdfbeq.0040840C                    play_background_sounds
004049E8   PUSH brvdfbeq.004083FC                    play_animations
004049FE   PUSH brvdfbeq.004083E4                    display inline videos
00404A14   PUSH brvdfbeq.004083CC                    enable autoimageresize
00404A1E   PUSH brvdfbeq.004083C8                    yes
00404A29   PUSH brvdfbeq.00408424                    %s
00404A56   PUSH brvdfbeq.004083B0                    display inline images
00404A6C   PUSH brvdfbeq.00408398                    disable script debugger
00404A82   PUSH brvdfbeq.00408380                    disablescriptdebuggerie
00404AA0   PUSH brvdfbeq.0040831C                    software\microsoft\internet explorer\activex compatibility\{d27cdb6e-ae6d-11cf-96b8-444553540000}
00404AB4   PUSH brvdfbeq.00408310                    00000400
00404ABF   PUSH brvdfbeq.00408424                    %s
00404AF6   PUSH brvdfbeq.004082FC                    compatibility flags
00405554   PUSH EBP                                  (初始 cpu 选择)




  
    地址                   反汇编                                                  文本字串
004012B2   MOV EBX,brvdfbeq.00408064                 http://seshutdownprivilege.exe
004012DF   PUSH brvdfbeq.00408058                    <a href='
004012F5   PUSH brvdfbeq.0040803C                    ' target='_blank'>test</a>
004013F5   PUSH brvdfbeq.0040806C                    seshutdownprivilege.exe
004014A8   PUSH brvdfbeq.004080CC                    c:\mfcshareddll
004014B9   PUSH brvdfbeq.004080B4                    documents and settings\c:\mfcshareddll
004014CA   PUSH brvdfbeq.004080A8                    all users\
004014DB   PUSH brvdfbeq.00408098                    「开始」菜单\
004014EC   PUSH brvdfbeq.00408090                    程序\
004014FD   PUSH brvdfbeq.00408088                    启动\
00401530   PUSH brvdfbeq.00408080                    .exe
0040167D   PUSH brvdfbeq.004080D0                    mfcshareddll
0040169C   PUSH brvdfbeq.004080D0                    mfcshareddll
00401745   PUSH brvdfbeq.004080E0                    #32770
00401755   MOV DWORD PTR SS:[EBP-14],brvdfbeq.00408  mfcshareddll
00401804   PUSH brvdfbeq.004080FC                    103306
004018F5   PUSH brvdfbeq.00408114                    \n%s\n
00401D53   PUSH brvdfbeq.0040811C                    read error
00401F6B   PUSH brvdfbeq.00408150                    ntdll.dll
00401F87   PUSH brvdfbeq.00408138                    rtlinitunicodestring
00401F8F   PUSH brvdfbeq.00408128                    zwopensection
0040203C   MOV DWORD PTR SS:[EBP-10],brvdfbeq.00408  current_user
004020D6   PUSH brvdfbeq.0040816C                    \device\physicalmemory
004023E6   PUSH brvdfbeq.0040819C                    58.49.58.20alc6150ntcreatesection\\.\
00402416   PUSH brvdfbeq.004081A8                    alc6150ntcreatesection\\.\
0040281E   PUSH brvdfbeq.004080CC                    c:\mfcshareddll
00402968   PUSH brvdfbeq.004081C0                    \\.\
00402998   PUSH brvdfbeq.004081B0                    ntcreatesection\\.\
0040299D   PUSH brvdfbeq.00408150                    ntdll.dll
00402AB3   PUSH brvdfbeq.004081E8                    0
00402EFE   PUSH brvdfbeq.004080D0                    mfcshareddll
00402F3E   MOV DWORD PTR SS:[ESP],brvdfbeq.004081D8  d:\thumbs.dob
00402F4A   PUSH brvdfbeq.004081D4                    rb
00403015   PUSH brvdfbeq.004080FC                    103306
0040307B   PUSH brvdfbeq.004081D0                    \
004030A2   PUSH brvdfbeq.004081C8                    .dll
004032D5   PUSH brvdfbeq.004081EC                    t
004037AE   PUSH brvdfbeq.00408250                    *
00403847   PUSH brvdfbeq.0040824C                    %d
004039A0   PUSH brvdfbeq.0040824C                    %d
00403ACE   PUSH brvdfbeq.0040824C                    %d
00403C73   PUSH brvdfbeq.004081D0                    \
00403CA2   PUSH brvdfbeq.00408244                    .tmp
00403CCA   PUSH brvdfbeq.004081D4                    rb
00403D19   MOV DWORD PTR SS:[ESP],brvdfbeq.00408228  \windows\system32\sc.exe
00403D2B   MOV DWORD PTR SS:[ESP],brvdfbeq.00408208  \windows\system32\regedt32.exe
00403D3D   MOV DWORD PTR SS:[ESP],brvdfbeq.004081F0  \windows\regedit.exe
00404078   PUSH brvdfbeq.00408254                    000000
004040F1   PUSH brvdfbeq.004082D4                    ieframe*.*regsvr32.exe
00404105   PUSH brvdfbeq.004082B0                    internet explorer_tridentdlgframe
00404137   PUSH brvdfbeq.004080E0                    #32770
00404175   PUSH brvdfbeq.004082A4                    任务管理器
0040418D   PUSH brvdfbeq.00408298                    服务器正在
004041A2   PUSH brvdfbeq.00408290                    cript
004041B3   PUSH brvdfbeq.0040828C                    :\
004041C8   PUSH brvdfbeq.00408288                    ://:\
004041DD   PUSH brvdfbeq.00408280                    内存
004041EE   PUSH brvdfbeq.00408278                    rror
004041FF   PUSH brvdfbeq.00408274                    安
00404210   PUSH brvdfbeq.00408270                    错
00404221   PUSH brvdfbeq.0040825C                    internet explorer
004042CA   MOV EAX,brvdfbeq.004080D0                 mfcshareddll
00404588   MOV ESI,brvdfbeq.004081D0                 \
004045B1   PUSH brvdfbeq.004082DC                    *.*regsvr32.exe
004047F1   PUSH brvdfbeq.004082D4                    ieframe*.*regsvr32.exe
00404842   PUSH brvdfbeq.004082F8                    cnzcompatibility flags00000400
004048B4   PUSH brvdfbeq.004082F4                    wb
00404903   PUSH brvdfbeq.004082F0                    /s wb
00404921   PUSH brvdfbeq.004082E0                    regsvr32.exe
0040496B   PUSH brvdfbeq.0040842C                    software\microsoft\internet explorer\main\
00404990   PUSH brvdfbeq.00408428                    no
0040499B   PUSH brvdfbeq.00408424                    %s
004049D2   PUSH brvdfbeq.0040840C                    play_background_sounds
004049E8   PUSH brvdfbeq.004083FC                    play_animationsplay_background_sounds
004049FE   PUSH brvdfbeq.004083E4                    display inline videos
00404A14   PUSH brvdfbeq.004083CC                    enable autoimageresize
00404A1E   PUSH brvdfbeq.004083C8                    yesenable autoimageresize
00404A29   PUSH brvdfbeq.00408424                    %s
00404A56   PUSH brvdfbeq.004083B0                    display inline images
00404A6C   PUSH brvdfbeq.00408398                    disable script debuggerdisplay inline images
00404A82   PUSH brvdfbeq.00408380                    disablescriptdebuggeriedisable script debuggerdisplay inline images
00404AA0   PUSH brvdfbeq.0040831C                    software\microsoft\internet explorer\activex compatibility\{d27cdb6e-ae6d-11cf-96b8-444553540000}
00404AB4   PUSH brvdfbeq.00408310                    00000400
00404ABF   PUSH brvdfbeq.00408424                    %s
00404AF6   PUSH brvdfbeq.004082FC                    compatibility flags00000400
00405554   PUSH EBP                                  (初始 cpu 选择)


回复

举报

allinwonderi
发表于 2008-6-8 20:59:35 | 显示全部楼层

F-Prot 4.4.4

[Found possible virus]         <W32/NewMalware-Rootkit-I-based!Maximus (not disinfectable)>        C:\Documents and Settings\All Users\Documents\Test\.rar->\brvdfbeqtfb.exe

---------------------------------------------------------------------
Scan ended:        2008-6-8, 20:59:11
Duration:        0:00:00

Scan result:

Scanned files:                 6
Infected objects:         1
Disinfected objects:         0
Quarantined files:         0
---------------------------------------------------------------------
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-6 22:02 , Processed in 0.096196 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表