请教各位老大,关于bo1037.exe病毒代码问题!!!!!!!!!!!谢谢

显示全部楼层 · 发表于 2008-12-3 06:36:51

这个病毒分析了一下,还是搞不清楚到底是干什么的
是盗号的吗,请各位老大指教一下谢谢

显示全部楼层 · 发表于 2008-12-3 06:41:03

是盗号还是别的什么下载其它的木马吗?请教各位老大了

显示全部楼层 · 发表于 2008-12-3 13:56:18

显示全部楼层 · 发表于 2008-12-3 15:33:54

自己在虚拟机测试一下不就什么都明白了，
看了下生成的DLL文件只知道会释放随机文件名的dll

映像劫持
00035198 10036398    0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
000350F0 100362F0    0 RavTask.exe
00035108 10036308    0 360tray.exe
00035120 10036320    0 runiep.exe

检测更新
00035018 10036218    0 http://www.kaolabao.net/bo/update.ini

00034ED8 100360D8    0 "%s",CloseExistedDllByRundll32 %s
00034F1C 1003611C    0 rundll32.exe
00034F44 10036144    0 *.dll
00034F5B 1003615B    0 emsns
00034FA8 100361A8    0 {f83d6fdb-c872-4bcf-ac08-4e61d55446c5}
00034FF8 100361F8    0 APPID
00035018 10036218    0 http://www.kaolabao.net/bo/update.ini
0003506C 1003626C    0 BackgroundOperation
000350A0 100362A0    0 LastUpdate
000350B8 100362B8    0 SOFTWARE\wins\Bo
000350DC 100362DC    0 LastCheck
000350F0 100362F0    0 RavTask.exe
00035108 10036308    0 360tray.exe
00035120 10036320    0 runiep.exe
00035138 10036338    0 SOFTWARE\Microsoft\Windows\CurrentVersion\Run
00035198 10036398    0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
0003522C 1003642C    0 Debugger
00035255 10036455    0 /toolPage/toolSn.jsp
00035359 10036559    0 C-111-0-0-0-0
000353AD 100365AD    0 Software\Microsoft\Service
000353E4 100365E4    0 LastSTime
000353F8 100365F8    0 LastDSTime
00035410 10036610    0 AInterval
00035424 10036624    0 LssdosDate
00035450 10036650    0 DspValue
00035464 10036664    0 VCount
00035474 10036674    0 IDate
000354B8 100366B8    0 /\:*?<>|"
000354D0 100366D0    0 http://unions.kaolabao.net/softC ... istTime=%existTime%
00035628 10036828    0 %userID%
0003563C 1003683C    0 %validationID%
0003565C 1003685C    0 %agentID%
00035670 10036870    0 %version%
00035684 10036884    0 %visitCount%
000356A0 100368A0    0 %existTime%
000356B8 100368B8    0 DD1C0725-E69D-4b75-AE6D-1D158ADA4DCB
00035704 10036904    0 v0001_interval
00035724 10036924    0 v0001_cookie_removing
00035750 10036950    0 v0001_resource_filter
0003577C 1003697C    0 v0001_page
00035950 10036B50    0 Movie
0003595C 10036B5C    0 application/x-shockwave-flash
00035998 10036B98    0 clsid:D27CDB6E-AE6D-11cf-96B8-444553540000
000359FC 10036BFC    0 FileName
00035A18 10036C18    0 BaseURL
00035A28 10036C28    0 clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6
00035A80 10036C80    0 clsid:22D6F312-B0F6-11D0-94AB-0080C74C7E95
00035AD8 10036CD8    0 application/x-mplayer2
00035B08 10036D08    0 application/asx
00035B28 10036D28    0 audio/
00035B38 10036D38    0 video/
00035B75 10036D75    0 Software\Microsoft\Service
00035BAC 10036DAC    0 AProcess
00035BC0 10036DC0    0 BOID{AB9392F9-8BE5-444a-B7F0-6C8C989D57F1}
00035C24 10036E24    0 explorer.exe
00035C44 10036E44    0 %s\%s
00035C50 10036E50    0 %s %d
00035C5C 10036E5C    0 %s_%d
00035C68 10036E68    0 Explorer.exe
00035C84 10036E84    0 \*.lnk
00035C98 10036E98    0 .exe
00035CB0 10036EB0    0 rundll32.exe "%s",fnOpen
00035EB9 100370B9    0 Internet Explorer_Server
00035EF8 100370F8    0 relative
00035FFC 100371FC    0 user32
00036170 10037370    0 %s\Tasks\MsUpdateTask.job

有点像是弹网页的

[ 本帖最后由 250662772 于 2008-12-3 15:36 编辑 ]

显示全部楼层 · 发表于 2008-12-3 16:43:32

無法擷取要求的網址

當試著擷取網址：

http://www.longlong7.cn/bo/BO1037.exe

發生以下錯誤：

要求的物件感染下列病毒： Trojan.Win32.Vapsup.nzp

显示全部楼层 · 发表于 2008-12-4 10:47:39

典型的广告软件...

现在的bo1037.exe个人评定危害性：3（满5）

以前的bo1010.exe，个人评定危害性4（以前会劫持SSDT、加载驱动自我保护，可能会导致部分软件出现故障，系统速度缓慢等）

显示全部楼层 · 发表于 2008-12-4 12:16:17

卡八 : Trojan.Win32.Vapsup.nzp

[其他相关] 请教各位老大,关于bo1037.exe病毒代码问题!!!!!!!!!!!谢谢

评分

回复 4楼 250662772 的帖子

浏览过的版块