查看: 4243|回复: 15
收起左侧

[已鉴定] 一个网页病毒样本

 关闭 [复制链接]
harddream
发表于 2008-7-5 11:00:45 | 显示全部楼层 |阅读模式
在这个网页中你只要点击“LUEVELSMEYER的《PE文件格式》“这个下载链接是个木马,日志稍后跟进发上来,用其他杀软大家可以测试下。



http://www.pediy.com/tutorial/chap8/Chap8-1-1.htm
  • PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则跳转到 PE header
  • PE装载器检查 PE header 的有效性。如果有效,就跳转到PE header的尾部。
  • 紧跟 PE header 的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存,同时付上节表里指定的节属性。
  • PE文件映射入内存后,PE装载器将处理PE文件中类似 import table(引入表)逻辑部分。
上述步骤是基于本人观察后的简述,显然还有一些不够精确的地方,但基本明晰了执行体被处理的过程。
你应该下载 LUEVELSMEYER的《PE文件格式》 该文的描述相当详细,可用作案头的参考手册。
Copyright © 2000-2001 KanXue Studio All Rights Reserved.
醉一生爱妍
发表于 2008-7-5 11:11:15 | 显示全部楼层
not virus
VISN
发表于 2008-7-5 11:12:07 | 显示全部楼层
AVIRA miss
harddream
 楼主| 发表于 2008-7-5 11:18:01 | 显示全部楼层
2008-7-5 0:11:52        HTTP 过滤器        文件        http://www.pediy.com/tutorial/chap8/technology/pe1.zip        可能是 Win32/Statik 应用程序 的变种        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-7-4 23:45:35        HTTP 过滤器        文件        http://www.kuxp.com/down3245234l1.rar        Win32/TrojanDownloader.Adload.NEQ 特洛伊木马        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: E:\迅雷\Program\Thunder5.exe.
2008-6-29 12:08:31        HTTP 过滤器        文件        http://user1.zhong515.cn/ilink.html        JS/Exploit.RealPlay.LF 特洛伊木马        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-29 12:08:27        HTTP 过滤器        文件        http://user1.zhong515.cn/ilink.html        JS/Exploit.RealPlay.LF 特洛伊木马        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-24 22:12:37        HTTP 过滤器        文件        http://60.172.179.15/down/123.htm        JS/TrojanDownloader.Psyme.NBX 特洛伊木马        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2008-6-24 21:59:53        HTTP 过滤器        文件        http://dl.bysoo.com/bysootb/nvwkanx1.cab        Win32/TrojanDownloader.Adload.NEX 特洛伊木马        连接中断 - 已隔离        china-6e46728b4\lox        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
电影结束了
发表于 2008-7-5 12:39:11 | 显示全部楼层
扫描系统区域...
扫描所选择的目录和文件...
对象: down3245234l1\SkypeClient.exe
        在压缩档案里: C:\Documents and Settings\wangcheng\桌面\down3245234l1.rar
        Status: 已发现病毒
        病毒: Trojan.Baidu.H (BD 引擎)
对象: down3245234l1.rar
        路径: C:\Documents and Settings\wangcheng\桌面
        Status: 已发现病毒
        病毒: Trojan.Baidu.H (BD 引擎)
对象: nvwkanx1.dll
        在压缩档案里: C:\Documents and Settings\wangcheng\桌面\nvwkanx1.cab
        Status: 已发现病毒
        病毒: Trojan-Downloader.Win32.Adload.sl (KAV 引擎)
对象: nvwkanx1.cab
        路径: C:\Documents and Settings\wangcheng\桌面
        Status: 已发现病毒
        病毒: Trojan-Downloader.Win32.Adload.sl (KAV 引擎)
电影结束了
发表于 2008-7-5 12:40:06 | 显示全部楼层
打个包吧...
2个...

2.zip

129.2 KB, 下载次数: 120

啊弥陀佛
发表于 2008-7-5 12:42:06 | 显示全部楼层
微点主动防御系统拦截
未命名.JPG
14206937
发表于 2008-7-5 15:31:29 | 显示全部楼层
Begin scan in 'F:\样本\2.zip'
F:\样本\2.zip
  [0] Archive type: ZIP
    --> down3245234l1.rar
      [1] Archive type: RAR
      --> down3245234l1\SkypeClient.exe
          [DETECTION] Is the Trojan horse TR/Baidu.H.86
    --> nvwkanx1.cab
      [1] Archive type: CAB (Microsoft)
      --> nvwkanx1.dll
          [DETECTION] Is the Trojan horse TR/Dldr.AlexaBar.J
      [NOTE]      The file was deleted!
欠妳緈諨
发表于 2008-7-5 15:36:14 | 显示全部楼层
*
* avast! 报告
* 这个文件自动被产生
*
* 任务 '扫描临时解压文件夹' 被使用
* 开始于 2008年7月5日 15:33:36
* VPS: 080704-0, 2008-07-04
*

D:\病毒测试\临时解压\2.zip\down3245234l1.rar\down3245234l1\SkypeClient.exe\[UPX] [L] Win32:Baidubar-B [Trj] (0)
D:\病毒测试\临时解压\2.zip\nvwkanx1.cab\nvwkanx1.dll [L] Win32:Adloader-KT [Trj] (0)
文件被成功删除...
文件被成功删除...
已感染文件: 2
总共文件: 7
总共文件夹: 1
总共大小: 592.7 KB

*
* 任务被停止: 2008年7月5日 15:33:38
* 运作时间是 2 秒
*
ssy275
发表于 2008-7-5 17:58:16 | 显示全部楼层
2008-07-05_175810.png
2008-07-05_175802.png
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 02:49 , Processed in 0.121841 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表