1-Trojan-Downloader.JS.Small.ms

显示全部楼层 · 发表于 2008-11-22 16:42:46

h66p://u.cruze3.cn/sina.htm

显示全部楼层 · 发表于 2008-11-22 17:20:08

呃，这个前天就看过了，应该属于局域网ARP来的。
do.qwertyy.cn
u.cruze3.cn
这2个域名，可能是一样的地方

显示全部楼层 · 发表于 2008-11-22 19:19:30

alert之...
http://ad.ote2008.info/ad.css

显示全部楼层 · 发表于 2008-11-22 19:57:44

LinkScanner

显示全部楼层 · 发表于 2008-11-22 22:27:50

2008/11/22 22:26:54 检测到木马程序 Trojan-Downloader.Win32.Small.aacq http://ad.ote2008.info/ad.css//UPX

显示全部楼层 · 发表于 2008-11-23 09:19:38

Threat details:

Web page:
http://ad.ote2008.info/ad.css

Threat:
Win32/Agent.OAG trojan

Comment:
Access to the web page was blocked by ESET Smart Security.

显示全部楼层 · 发表于 2008-11-23 09:27:07

原帖由 aarwwefdds 于 2008-11-22 19:19 发表
alert之...
http://ad.ote2008.info/ad.css

UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo

自己手动脱壳了。。（UPX是基础壳。。）

00002165 00402165    0 del "%s"
0000216F 0040216F    0 if exist "%s" goto pp
00002186 00402186    0 del "%s"
00002194 00402194    0 %s\%s
0000219C 0040219C    0 unxxx.bat
000021A8 004021A8    0 rundll32 "%s",UIMessage
000021C0 004021C0    0 DesktopWin
000021CC 004021CC    0 JavaView
000021D8 004021D8    0 \msgmr.dll
000021E4 004021E4    0 Program Files\Messenger

alert

[ 本帖最后由 WillBeNextKido 于 2008-11-23 09:29 编辑 ]

[已鉴定] 1-Trojan-Downloader.JS.Small.ms