一个网页病毒样本

显示全部楼层 · 发表于 2008-7-5 11:00:45

在这个网页中你只要点击“LUEVELSMEYER的《PE文件格式》。“这个下载链接是个木马，日志稍后跟进发上来，用其他杀软大家可以测试下。

http://www.pediy.com/tutorial/chap8/Chap8-1-1.htm

当PE文件被执行，PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到，则跳转到 PE header。
PE装载器检查 PE header 的有效性。如果有效，就跳转到PE header的尾部。
紧跟 PE header 的是节表。PE装载器读取其中的节信息，并采用文件映射方法将这些节映射到内存，同时付上节表里指定的节属性。
PE文件映射入内存后，PE装载器将处理PE文件中类似 import table（引入表）逻辑部分。

上述步骤是基于本人观察后的简述，显然还有一些不够精确的地方，但基本明晰了执行体被处理的过程。
你应该下载 LUEVELSMEYER的《PE文件格式》。该文的描述相当详细，可用作案头的参考手册。

翻译：iamgufeng [Iczelion's Win32 Assembly Homepage][LuoYunBin's Win32 ASM Page]

显示全部楼层 · 发表于 2008-7-5 11:11:15

not virus

显示全部楼层 · 发表于 2008-7-5 11:12:07

AVIRA miss

显示全部楼层 · 发表于 2008-7-5 11:18:01

2008-7-5 0:11:52       HTTP 过滤器       文件       http://www.pediy.com/tutorial/chap8/technology/pe1.zip       可能是 Win32/Statik 应用程序的变种       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-7-4 23:45:35       HTTP 过滤器       文件       http://www.kuxp.com/down3245234l1.rar       Win32/TrojanDownloader.Adload.NEQ 特洛伊木马       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: E:\迅雷\Program\Thunder5.exe.
2008-6-29 12:08:31       HTTP 过滤器       文件       http://user1.zhong515.cn/ilink.html       JS/Exploit.RealPlay.LF 特洛伊木马       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-29 12:08:27       HTTP 过滤器       文件       http://user1.zhong515.cn/ilink.html       JS/Exploit.RealPlay.LF 特洛伊木马       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-24 22:12:37       HTTP 过滤器       文件       http://60.172.179.15/down/123.htm       JS/TrojanDownloader.Psyme.NBX 特洛伊木马       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-24 21:59:53       HTTP 过滤器       文件       http://dl.bysoo.com/bysootb/nvwkanx1.cab       Win32/TrojanDownloader.Adload.NEX 特洛伊木马       连接中断 - 已隔离       china-6e46728b4\lox       通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.

显示全部楼层 · 发表于 2008-7-5 12:39:11

扫描系统区域...
扫描所选择的目录和文件...
对象: down3245234l1\SkypeClient.exe
在压缩档案里: C:\Documents and Settings\wangcheng\桌面\down3245234l1.rar
Status: 已发现病毒
病毒: Trojan.Baidu.H (BD 引擎)
对象: down3245234l1.rar
路径: C:\Documents and Settings\wangcheng\桌面
Status: 已发现病毒
病毒: Trojan.Baidu.H (BD 引擎)
对象: nvwkanx1.dll
在压缩档案里: C:\Documents and Settings\wangcheng\桌面\nvwkanx1.cab
Status: 已发现病毒
病毒: Trojan-Downloader.Win32.Adload.sl (KAV 引擎)
对象: nvwkanx1.cab
路径: C:\Documents and Settings\wangcheng\桌面
Status: 已发现病毒
病毒: Trojan-Downloader.Win32.Adload.sl (KAV 引擎)

显示全部楼层 · 发表于 2008-7-5 12:40:06

打个包吧...
2个...

显示全部楼层 · 发表于 2008-7-5 12:42:06

微点主动防御系统拦截

显示全部楼层 · 发表于 2008-7-5 15:31:29

Begin scan in 'F:\样本\2.zip'
F:\样本\2.zip
  [0] Archive type: ZIP
--> down3245234l1.rar
   [1] Archive type: RAR
   --> down3245234l1\SkypeClient.exe
      [DETECTION] Is the Trojan horse TR/Baidu.H.86
--> nvwkanx1.cab
   [1] Archive type: CAB (Microsoft)
   --> nvwkanx1.dll
      [DETECTION] Is the Trojan horse TR/Dldr.AlexaBar.J
   [NOTE]    The file was deleted!

显示全部楼层 · 发表于 2008-7-5 15:36:14

*
* avast! 报告
* 这个文件自动被产生
*
* 任务 '扫描临时解压文件夹' 被使用
* 开始于 2008年7月5日 15:33:36
* VPS: 080704-0, 2008-07-04
*

D:\病毒测试\临时解压\2.zip\down3245234l1.rar\down3245234l1\SkypeClient.exe\[UPX] [L] Win32:Baidubar-B [Trj] (0)
D:\病毒测试\临时解压\2.zip\nvwkanx1.cab\nvwkanx1.dll [L] Win32:Adloader-KT [Trj] (0)
文件被成功删除...
文件被成功删除...
已感染文件: 2
总共文件: 7
总共文件夹: 1
总共大小: 592.7 KB

*
* 任务被停止: 2008年7月5日 15:33:38
* 运作时间是 2 秒
*

显示全部楼层 · 发表于 2008-7-5 17:58:16

[已鉴定] 一个网页病毒样本