弹窗病毒样本(已更新)

jn7163

弹窗病毒样本

[ 本帖最后由 jn7163 于 2009-4-27 21:42 编辑 ]

漠时

很烦人的毒

漠时

ESS没报

Palkia

sam.to 的头像。。。

hddu

EQ拦截，看不到弹窗，可惜、可惜。

2009-04-26 22:39:42    运行应用程序      操作:阻止并结束进程
进程路径:E:\hoho\hoho.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:"E:\hoho\2.vbs"
触发规则:所有程序规则->系统程序_黑名单->%windir%\system32\wscript.exe

sam.to

原帖由 Palkia 于 2009-4-26 21:55 发表
sam.to 的头像。。。

我no say

[ 本帖最后由 sam.to 于 2009-4-26 22:40 编辑 ]

gomu887

一共就三个东西……基本是干净的吧
1.bat->
     start 1.vbs
     start 2.vbs
1.vbs->
     msgbox "欢迎光临英华网,http://www.lycon.cn"
2.vbs->
    Set WshShell = WScript.CreateObject("WScript.Shell")
    Return = WshShell.Run("1.bat",0)
    '隐藏运行1.bat,0代表隐藏

sam.to

https://www.virustotal.com/anali ... 9bc2b70b9e2551017cf

不上报

einnawy

过Nis

zdd807

解压hoho.rar，得到hoho.exe，将其改名为hoho1.rar，双击hoho.rar看到2vbs，1vbs，1bat这3个文件夹，
并有以下注释：
“;下面的注释包含自解压脚本命令
Setup=2.vbs
Presetup=2.vbs
Silent=1
Overwrite=1”


Setup=<程序>
在成功解压之后自解压将会试着运行 <程序>。在运行 <程序> 之前，包含已解压文件的文件夹将会设为当前文件夹
例子:
Setup=setup.exe
注意
1) 如果你在使用自解压运行 InstallShield setup.exe 有问题的话，请试着运行 “Setup.exe /SMS”来代替简洁的“Setup.exe”。此开关允许自解压检测安装程序的退出。
2) 你可以使用 -sp<参数> 自解压命令行开关 传递可选的参数到 Setup=<程序> 命令指定的程序。
3) 自解压模块在启动安装程序前设置 sfxname 和 sfxcmd 环境变量。sfxname 变量包含自解压模块的名字，sfxcmd 变量包含自解压模块接收的完整命令行。所以安装程序可以在需要这样的信息时读取它。安装程序如果需要这些信息可以读取它们。


Presetup=<程序>
自解压在解压之前将试着运行 <程序>，在运行 <程序> 之前必须先指定目标文件夹。你可以使用此命令，比如说，当安装新版本于旧版本上面时，用以删除先前的程序版本。如果程序名包含空格，它必须包含在引号之内。
例子:
Presetup=uninstall.exe /clean


Silent[=参数]
开始解压时不显示开始对话框。
参数 可以是 1 或 2。如果 参数 是 1，开始解压对话框会完全隐藏，包含进程指示和文件名。如果 参数 被忽略或是 2，则跳过开始解压的确认，但用户仍然可以看到压缩文件的解压进程。
例子:
Silent=2


Overwrite=[n]
如果[n]为 0，在覆盖文件之前用户将会被先询问。这是 覆盖命令的默认动作，可以不需要指定。如果 [n]不存在或是等于[1]，文件将在没有确认的状况下全部覆盖。如果 [n]等于[2]，所有已存在的文件将不会被覆盖。
例子:
Overwrite=1

写在最后：米有特征码，大部分杀软不报就正常了。

[ 本帖最后由 zdd807 于 2009-4-26 22:56 编辑 ]