“除了无语，还是无语” 下D。

显示全部楼层 · 发表于 2008-7-23 08:49:35

“除了无语，还是无语”
http://bbs.kafan.cn/thread-290496-1-1.html

文件名 down.exe
MD5: AA5E4E4B0DD5CAD77B758AA9A971FEE3
Upack V0.37 -> Dwing

========================================
strings

000046B4 004046B4    0 \DosDevices\Ntdapi0
000046C8 004046C8    0 IoGetDeviceObjectPointer
000046E4 004046E4    0 \Device\Ide\IdePort0
00004704 00404704    0 \Ntfs
00004714 00404714    0 \Device\Ntdapi0
00005C08 00405C08    0 rddisk0\DR0
00005C14 00405C14    0 CLASSP
00005C1C 00405C1C    0 \Device\Ha
00005C28 00405C28    0 reeIrp

00007E30 00407E30    0 Ntdapi
00007E38 00407E38    0 %12ld
00007E44 00407E44    0 SoftProtect=
00007E68 00407E68    0 Shell
00007E70 00407E70    0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
00007EB0 00407EB0    0 %s\%s
00007EB8 00407EB8    0 %s\system32\%s
00007EC8 00407EC8    0 %s\system32\%s%s
00007EDC 00407EDC    0 %s\%s%s
00007EEC 00407EEC    0 orer.exe
00007EF8 00407EF8    0 del %0
00007F04 00407F04    0 cd  C:\
00007F10 00407F10    0 :Repeat1
00007F1C 00407F1C    0 c:\mahtesf3.bat
00007F30 00407F30    0 if exist "%s" goto Repeat1
00007F4C 00407F4C    0 del "%s"
00007F58 00407F58    0 %c%c%c%c
00007F68 00407F68    0 HintSecu.sys

00007F84 00407F84    0 C:\Program Files\HintSoft\PubwinClient\Patch
00007FB4 00407FB4    0 C:\Program Files\360Safebox\sprotect.ini
00007FE0 00407FE0    0 c:\sysfiles\

=============================================================

附件解压密码  virus

[ 本帖最后由 cfans 于 2008-7-23 08:55 编辑 ]

显示全部楼层 · 发表于 2008-7-23 08:55:09

avast 报

显示全部楼层 · 发表于 2008-7-23 08:58:59

这个DOWN 也是下载器。。。

down.exe的下载列表

[oo]
c0=http://888.hyrzxm.cn/cert/menghuan.exe
c1=http://888.hyrzxm.cn/cert/tl.exe
c2=http://888.hyrzxm.cn/cert/wendao.exe
c3=http://888.hyrzxm.cn/cert/qq.exe
c4=http://888.hyrzxm.cn/cert/wow.exe
c5=http://www.chayuanju.com.cn/cert/my.exe
c6=http://www.chayuanju.com.cn/cert/chuanqishijie.exe
c7=http://www.chayuanju.com.cn/cert/chuanqi.exe
c8=http://www.chayuanju.com.cn/cert/qqhuaxia.exe
c9=http://www.chayuanju.com.cn/cert/zhuxian.exe
c10=http://www.chayuanju.com.cn/cert/dahua3.exe
c11=http://www.chayuanju.com.cn/cert/wanmeiguoji.exe
c12=http://www.chayuanju.com.cn/cert/zhengtu.exe
c13=http://777.hyrzxm.cn/cert/juren.exe
c14=http://777.hyrzxm.cn/cert/feng2.exe
c15=http://777.hyrzxm.cn/cert/chibi.exe
c16=http://777.hyrzxm.cn/cert/fengyun.exe
c17=http://777.hyrzxm.cn/cert/jianshi.exe
c18=http://777.hyrzxm.cn/cert/wulin.exe
c19=http://666.hyrzxm.cn/cert/jian2.exe
c20=http://666.hyrzxm.cn/cert/huaxia2.exe
c21=http://666.hyrzxm.cn/cert/111.exe
c22=http://666.hyrzxm.cn/cert/22.exe
c23=http://666.hyrzxm.cn/cert/33.exe
c24=http://111.1818666.com/cert/aa.exe

[ 本帖最后由 cfans 于 2008-7-23 09:08 编辑 ]

显示全部楼层 · 发表于 2008-7-23 09:09:23

对象: down.exe_
路径: F:\virus\vir
Status: 已发现病毒
病毒: Trojan-Downloader.Win32.Agent.uts (KAV 引擎), Trojan.Crypt.DJ (BD 引擎)

显示全部楼层 · 发表于 2008-7-23 09:17:04

下载木马，释放，一堆木马群

[ 本帖最后由 cfans 于 2008-7-23 09:18 编辑 ]

显示全部楼层 · 发表于 2008-7-23 09:20:55

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\msobjstl.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\ktcz2.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\oimu3.exe - Win32/PSW.QQPass.NCZ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\osbi4.exe - Win32/PSW.WOW.NDK 特洛伊木马

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\krfi5.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\scrruncqsj.dll - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\rasdlgcq.dll - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\cliconfgzx.dll - Win32/PSW.Agent.NHQ 特洛伊木马

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\bootvidgj.dll - Win32/PSW.Agent.NHQ 特洛伊木马

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\adsntzt.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\kbdswjr.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\slbiopfs2.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\dispexcb.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\ksuserfy.dll - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\tscfgwmijxsj.dll - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\vihm18.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\knlw19.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\WINDOWS\system32\imgutilhx2.dll - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\drive\C\Program Files\Internet Explorer\PLUGINS\Windows64.Sys - Win32/PSW.QQPass.NCZ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\6D0J2TA5\wendao[1].exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\6D0J2TA5\chuanqishijie[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\6D0J2TA5\zhengtu[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\6D0J2TA5\fengyun[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\6D0J2TA5\huaxia2[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\GVNJ6O1D\menghuan[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\GVNJ6O1D\qq[1].exe - Win32/PSW.QQPass.NCZ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\GVNJ6O1D\chuanqi[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\GVNJ6O1D\juren[1].exe - 可能是 Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\GVNJ6O1D\jianshi[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\4T49UVCH\tl[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\4T49UVCH\my[1].exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\4T49UVCH\wanmeiguoji[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\4T49UVCH\chibi[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\4T49UVCH\jian2[1].exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\27EVUL6V\wow[1].exe - Win32/PSW.WOW.NDK 特洛伊木马

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\27EVUL6V\zhuxian[1].exe - Win32/PSW.Agent.NHZ 特洛伊木马

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\27EVUL6V\feng2[1].exe - Win32/PSW.Agent.NHQ 特洛伊木马的变种

C:\Sandbox\1\DefaultBox\user\current\Local Settings\Temporary Internet Files\Content.IE5\27EVUL6V\wulin[1].exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种

显示全部楼层 · 发表于 2008-7-23 09:53:24

占楼我就等着打包

召唤qiwenxiang!!!!

显示全部楼层 · 发表于 2008-7-23 10:05:02

Scanning Report
23 July 2008 10:04:31 - 10:04:34
Computer name: BALLAKAY-PC
Scanning type: Scan target
Target: C:\Users\Administrator\Desktop\down

--------------------------------------------------------------------------------

Result: 1 malware found
Trojan-Downloader.Win32.Agent.uts (virus)
C:\Users\Administrator\Desktop\down\down.exe_ Action: quarantined

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 1
Not scanned: 0
Result:
Viruses: 1
Spyware: 0
Suspicious items: 0
Riskware: 0
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
Quarantined: 1
Failed: 0
Boot Sectors:
Scanned: 0
Infected: 0
Suspicious items: 0
Disinfected: 0

--------------------------------------------------------------------------------

Options
Definitions version:
Viruses: 2008-07-22_11
Spyware: 2008-07-22_11
Scanning Engines:
F-Secure AVP: 7.00.171, 2008-07-21
F-Secure Libra: 2.04.05, 2008-07-16
F-Secure Orion: 1.02.41, 2008-07-23
F-Secure Draco: 1.01.00, 2008-07-08
Scanning options:
Scan all files
Scan inside archives
Actions:
Viruses: Quarantine and delete
Spyware: Quarantine and delete

显示全部楼层 · 发表于 2008-7-23 10:09:43

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.PSW.Win32.GameOL.omb

用户来源：互联网

软件版本：20.54.12

显示全部楼层 · 发表于 2008-7-23 10:23:37

有些下载失败

[病毒样本] “除了无语，还是无语” 下D。

本帖子中包含更多资源

回复 2楼 yeandwo 的帖子

图

本帖子中包含更多资源

本帖子中包含更多资源