一个仿多玩YY的钓鱼网站提取的木马（卡巴斯基和金山MISS））

显示全部楼层 · 发表于 2009-3-23 23:03:55

网址是http://www.yy-douwan.com/。里面的YY是给捆绑了木马的，下载后静态扫描没有发现，明显加壳了。对了，差点忘记说了，卡巴斯基和金山MISS了这个木马，希望大家帮忙能上报。

[ 本帖最后由 Anycall-D908 于 2009-3-23 23:51 编辑 ]

显示全部楼层 · 发表于 2009-3-23 23:06:20

date/time: 2009/3/23 23:05:42
filename: yy.rar
original path: d:\Virus\
filesize: 17.62 KB
virusname: Generic.PWS
suggestion: Save & Delete
signatureId: 460807

显示全部楼层 · 发表于 2009-3-23 23:06:33

盗wow的
Ultra String Reference
Address Disassembly                            Text String
00401028 push 00403010                         rsor
0040133B push ebp                            (initial cpu selection)
00401372 push 004030E4                         installpath
00401377 push 004030B0                         software\blizzard entertainment\world of warcraft
004013C9 push 004030A0                         msdfjsadfjd.da
004013D8 push 0040309C                         t
004013F9 push 00403098                         wo
00401408 push 00403090                         w.exe
00401448 push 00403088                         wow.exew.exe
004014CD push 00403078                         divxdecoder.dllwow.exew.exe
00401513 push 00403078                         divxdecoder.dllwow.exew.exe
00401582 push 0040305C                         xe
004015DF push 0040304C                         1
00401644 push 00403000                         msdfjsadfjd.datrsor
004016BF push 00403038                         hookon
004016C7 push 00403030                         hookoffhookon
00401737 push 00403088                         wow.exew.exe
004017C0 push 00403078                         divxdecoder.dllwow.exew.exe
00401805 push 00403078                         divxdecoder.dllwow.exew.exe
0040188D push 00403018                         %temp%\mswsasystem.gif
00404499 push 1000704C                         \n
00404752 push 100070B8                         \n
00404A0E push 1000704C                         \n
00405D5D push 1000736C                         枋:
00405E32 push 1000736C                         枋:
00406840 push 10007464                         梃g9
00406D11 push 100073B0                         :
0040703A push 10005370                         j
00407348 push 10007530                         9
004074BA push 10007530                         9

显示全部楼层 · 发表于 2009-3-23 23:08:01

TR/Dropper.Gen

显示全部楼层 · 发表于 2009-3-23 23:32:28

原帖由 EQ2 于 2009-3-23 23:06 发表
盗wow的
Ultra String Reference
Address Disassembly                            Text String
00401028 push 00403010                         rsor
0040133B push ebp                   ...

我想问下，你这个报告是用什么生成的。很明显，我觉得这个报告很详细，我也想偷师

显示全部楼层 · 发表于 2009-3-23 23:34:34

脱壳后用OD的插件查看后copy的

显示全部楼层 · 发表于 2009-3-23 23:36:17

显示全部楼层 · 发表于 2009-3-23 23:36:26

原帖由 EQ2 于 2009-3-23 23:34 发表
脱壳后用OD的插件查看后copy的

哦～～我是听到糊里糊涂的了，看来我还没到这个境界，有点对牛弹琴了，浪费了，可惜啊～～

显示全部楼层 · 发表于 2009-3-23 23:36:43

Name: Trojan.PWS.WOW.DMP
Type: Trojan

Description:

Files:
c:\users\administrator\desktop\yy.exe

显示全部楼层 · 发表于 2009-3-24 00:11:50

url, sample to kl

[病毒样本] 一个仿多玩YY的钓鱼网站提取的木马（卡巴斯基和金山MISS））

本帖子中包含更多资源

IK

回复 5楼 Anycall-D908 的帖子

本帖子中包含更多资源