2008.10.18样本

happyboys_xp

2008年10月18日
采集8个样本.
2008.10.18.rar

醉一生爱妍

IEXPLORE.exe------------->start page

alexa810d12a------------->connect   http://z2.05885.cn/  http://z1.05885.cn/

Ssetsusp.exe:

00022408   13162E08      0   udp\hjob123\com
00022420   13162E20      0   bak\hjob123\com
00022934   13163334      0   $$30689.bat
00022958   13163358      0   del "
00022974   13163374      0   if exist "
00022988   13163388      0    goto try
0002299C   1316339C      0   del /q /f "
00022C54   13163654      0   "%s" -p"%s" -o- -s -d"%s"
00022C78   13163678      0   install.exe
00022F4C   1316394C      0   kernel32.dll
00022F5C   1316395C      0   user32.dll
00022F68   13163968      0   Shell32.dll
00022F74   13163974      0   urlmon.dll
00022F80   13163980      0   ShellExecuteA
00022F90   13163990      0   URLDownloadToFileA
00022FBC   131639BC      0   http://dn
00022FD0   131639D0      0   .rrads.cn/ins/
00022FE8   131639E8      0   msger
00023030   13163A30      0   GetdNew.exe
00023274   13163C74      0   common
0002328C   13163C8C      0   3333333
000232D8   13163CD8      0   C:\Windows

killloop

SEP 1

syfwxmh

kaspersky miss 2
to kl

萧夕改

[:12:]

hzyw

lingbo110120

8hf1.exe - Win32/BHO.NCY 特洛伊木马 的变种 - 通过删除清除 - 已隔离
alexa810d12a.exe - Win32/TrojanDownloader.VB.NQL 特洛伊木马 的变种 - 通过删除清除 - 已隔离
IEXPLORE.EXE - Win32/TrojanClicker.VB.NEO 特洛伊木马 的变种 - 通过删除清除 - 已隔离
mscs24.exe - Win32/TrojanDownloader.QQHelper.NEZ 特洛伊木马 - 通过删除清除 - 已隔离
Ssetsusp.exe - Win32/TrojanDownloader.Delf.OHJ 特洛伊木马 的变种 - 通过删除清除 - 已隔离
NOD漏了3个
上报

08红伞威点

红伞Pass，上报提交分析。。。

下面：附上样本～～方便下载。

欠妳緈諨

08红伞威点

文件身份证档名大小 (位元组) 结果
25166465 fysrv 15. exe 33.74 KB 在分析之下
25139826 alexa 810 d 12 一。exe 16个 KB 恶意软体
25166466 fc_2592. exe 123.29个 KB 恶意软体
251664678 hf 1.exe 112 KB 在分析之下
25166468  IEXPLORE。EXE 14.82 KB 恶意软体
25166469 mscs 24. exe 142个 KB 恶意软体
25166470  Ssetsusp.exe 92 KB 恶意软体
25165457个测试 2.exe 28.01 KB 损害了文件 (未知者
----------------------------------------------------------------------------
上为红伞回复，后一个损坏。 （在线翻译）