发个假Qvod样本

william587

新人发猛帖→机器狗和小偷者伪装的Qvod快播样本....这是我从我哥中招的机器上提取出来的..他从某某网站上下了这个直接双击EXE文件还不知道自己中招，后来还是我帮他装的QQ医生提醒他的.....


以下是我的试验报告........和样本



2009-3-11 8:35:41 192.168.227.128: 58.61.39.208:80
2009-3-11 8:41:19 192.168.227.128: text-ad.qvod.com/Text.xml
2009-3-11 8:41:24 192.168.227.128: insert-ad.qvod.com/admovie.cfg
2009-3-11 8:41:31 192.168.227.128: ccw12.com/sys/downs.txt   　←自动打开IE上他配置好的网站下载TXT文件然后执行命令CMD
2009-3-11 8:41:31 192.168.227.128: ccw12.com/sys/downs.htm?mac=00-0C-29-3D-AB-17&ver=ccw120&key=206&os=windows
2009-3-11 8:41:32 192.168.227.128: dt.tongji.cn.yahoo.com/ystat.do?  解析邮箱unit_id=919956&uv=278431709794901569&nuv=1&cna=&cg=0&mid=0&mmland=0&ade=0&adtm=0&sttm=0&cpa=0&ss=2002818007&usn=0&ec=1&ref=&url=http%3A//ccw12.com/sys/downs.htm%3Fmac%3D00-0C-29-3D-AB-17%26ver%3Dccw120%26key%3D206%26os%3Dwindows&dom=ccw12.com&ha=781&ft=0&nac=Microsoft%20Internet%20Explorer&agt=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%29&clr=32-bit&scr=640x480&lng=zh-cn&jvm=1&flu=9.0&tm=1236732109&tc=7a3a77c2&ut=0&cnu=0.5492850611323272
2009-3-11 8:41:33 192.168.227.128: dt.tongji.cn.yahoo.com/ystat.do?unit_id=933588&uv=37233930873517887212&nuv=1&cna=&cg=0&mid=0&mmland=0&ade=0&adtm=0&sttm=0&cpa=0&ss=3147008971&usn=0&ec=1&ref=&url=http%3A//ccw12.com/sys/downs.htm%3Fmac%3D00-0C-29-3D-AB-17%26ver%3Dccw120%26key%3D206%26os%3Dwindows&dom=ccw12.com&ha=781&ft=0&nac=Microsoft%20Internet%20Explorer&agt=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%29&clr=32-bit&scr=640x480&lng=zh-cn&jvm=1&flu=9.0&tm=1236732001&tc=567d36d6&ut=0&cnu=0.5951158409112983
2009-3-11 8:41:33 192.168.227.128: s37.cnzz.com/stat.php?id=1238806&web_id=1238806&show=pic
2009-3-11 8:41:33 192.168.227.128: 219.232.243.86/stat.htm?id=1238806&r=&lg=zh-cn&ntime=0.05264200%201236732110&repeatip=0&rtime=0&cnzz_eid=42142126-1236732110-&showp=640x480&st=1236732093&sin=&res=0
2009-3-11 8:41:42 192.168.227.128: a.ccw12.com/bug/yy/1.exe       ←此连接自动下载木马

And so on...............................木马
注意  此变种会穿还原卡和冰点  ,,,自动关360防火墙等等请大家小心玩.......
有可能我会分析错误请大家慢慢玩谢谢.....


由于论坛限制只能发这么多分卷了真是对不起大家。。。 我是刚来的请多多关照~     [本帖为原创]



有坛友说分卷下载太麻烦了，这是我QQ中转站的下载地址（提取码7f6ed4de）使用方法直接把下面地址复制到IE地址栏内enter  [6天时间按个人情况更新]

http://51.dc.ftn.qq.com/ftn_handler/4e8a2bdab8cafe1dc80289cea9b5a6c731a7e32637c0abf41a05901953a28a0569617d2494beb5e7cc2885bebaec94d0d0b84ec08818d1bf4d7c1c8403138205/假qvod样本.rar?k=75663665427eb69a71d06a7d4234564a065f520105075c571a5706005519500305571b5d015250485355065006555d5300510554643a64d9ee17400a00e59dd4894844041634

[ 本帖最后由 william587 于 2009-3-22 23:29 编辑 ]

linqing

反病毒引擎 版本 最后更新 扫描界果 a-squared 4.0.0.101 2009.03.22 Trojan.Win32.Zapchast!IK AhnLab-V3 5.0.0.2 2009.03.22 AntiVir 7.9.0.120 2009.03.21 Authentium 5.1.2.4 2009.03.21 Avast 4.8.1335.0 2009.03.21 AVG 8.5.0.283 2009.03.21 BitDefender 7.2 2009.03.22 CAT-QuickHeal 10.00 2009.03.21 ClamAV 0.94.1 2009.03.22 Comodo 1080 2009.03.22 DrWeb 4.44.0.09170 2009.03.22 eSafe 7.0.17.0 2009.03.19 eTrust-Vet 31.6.6409 2009.03.20 F-Prot 4.4.4.56 2009.03.21 F-Secure 8.0.14470.0 2009.03.22 Fortinet 3.117.0.0 2009.03.22 GData 19 2009.03.22 Ikarus T3.1.1.48.0 2009.03.22 Trojan.Win32.Zapchast K7AntiVirus 7.10.678 2009.03.21 Kaspersky 7.0.0.125 2009.03.22 McAfee 5560 2009.03.21 McAfee+Artemis 5560 2009.03.21 McAfee-GW-Edition 6.7.6 2009.03.21 Microsoft 1.4502 2009.03.22 NOD32 3953 2009.03.21 Norman 6.00.06 2009.03.20 nProtect 2009.1.8.0 2009.03.22 Panda 10.0.0.10 2009.03.22 PCTools 4.4.2.0 2009.03.22 Prevx1 V2 2009.03.22 Rising 21.21.62.00 2009.03.22 Sophos 4.39.0 2009.03.22 Sunbelt 3.2.1858.2 2009.03.21 <Corrupted Archive> Symantec 1.4.4.12 2009.03.22 TheHacker 6.3.3.3.287 2009.03.22 TrendMicro 8.700.0.1004 2009.03.22 VBA32 3.12.10.1 2009.03.22 ViRobot 2009.3.20.1658 2009.03.20 VirusBuster 4.6.5.0 2009.03.21

hello1577

还准备下载过过kis的4d呢

qianwenxiang

WINRAR
必须要有下列分卷才能解压：
C:\Test\0903\15\qvod.part11.rar

328397663

LZ漏了一卷

william587

有55个分卷 此源文件有2M大 不好意思 自己空间过期了只能这样发了

william587

下载好的木马要发上来吗？？？？有500多K

328397663

LZ还真会折腾人.~要下载那么多分卷..~`干脆上传到网盘..

The EQs

LZ不如直接上传QQ中转站，然后给地址

qianwenxiang

呃  好多卷   传到http://www.namipan.com/index.php 或者类似的网盘上吧