一个行为比较可疑的东西。大家帮忙判断！

显示全部楼层 · 发表于 2009-9-24 09:57:50

安装某软件以后，在安装路径下出现的。删除这个wextract.exe对该软件没有影响。怀疑是捆绑。

目前观察到的行为是添加自启动，释放文件和调用CMD来运行bat，因为我点了阻止，所以没抓到bat文件。不知道后续会不会有其它行为。

显示全部楼层 · 发表于 2009-9-24 09:59:16

费尔 TrojanDropper.Gen.bebp

显示全部楼层 · 发表于 2009-9-24 10:00:23

红伞报

显示全部楼层 · 发表于 2009-9-24 10:01:36

惊现火鸟~~
呵呵，话说这几天OSSS要发布1.2beta了

显示全部楼层 · 发表于 2009-9-24 11:20:44

E语言的....自己封装了库~

Found strings are
Address Disassembly                            Text string
00401000 mov edx,dword ptr ss:[esp+4]             (Initial CPU selection)
004011A0 push wextract.0040303F                   ASCII "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\win.bat"
004011DF push wextract.0040303F                   ASCII "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\win.bat"
00401226 push wextract.0040307A                   ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun"
00401250 push wextract.004030C2                   ASCII "DSMain.exe"
0040125C push wextract.004030CD                   ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\DisallowRun"
0040127F mov eax,wextract.00403121                ASCII "C:\WINDOWS\system\"
0040129E push wextract.00403134                   ASCII "eAPI.fne"
004012FB push wextract.00452146                   ASCII "internet.fne"
00401358 push wextract.0047F15B                   ASCII "spec.fne"
004013B5 push wextract.0049016C                   ASCII "mconfig.exe"
00401412 push wextract.00525180                   ASCII "win.bat"
0040146F push wextract.00525180                   ASCII "win.bat"

显示全部楼层 · 发表于 2009-9-24 11:24:54

hmily大牛也来了~~~

显示全部楼层 · 发表于 2009-9-24 11:30:51

瑞星2010

查询编号：RS20090924095808765331
文件名称：wextract.rar
文件MD5：3BD5420C7A62FFAAD18C4B983B4F17B2
文件状态：压缩文件，包含1个文件

文件名	MD5	状态	病毒名称	解决版本号
wextract.exe	F6F76917A...	病毒文件	Trojan.Win32.Generic.1...	22.14.03.02

显示全部楼层 · 发表于 2009-9-24 11:32:34

在C:\WINDOWS\system目录释放上面字符串中的5个文件3个E语言的运行库,还有一个批处理用来启动mconfig.exe,mconfig.exe是核心木马

Ultra String Reference
Address Disassembly                            Text String
0040FC8F mov eax,mconfig.00409284                561049258mconfig
0040FCD3 push mconfig.00409295                   open
0040FCDF push mconfig.0040929A                   http\shell\
0040FD15 push mconfig.004092A6                   Software\Microsoft\Internet Explorer\TabbedBrowsing\shortcutbehavior
0040FD38 mov eax,mconfig.004092EB                C:\WINDOWS\system\
0040FD6C push mconfig.004092FE                   myappname
0040FDB1 push mconfig.004092FE                   myappname
0041006E push mconfig.00409309                   http://www.qq-520.com/union/go1.txt
004100F0 push mconfig.00409335                   |
0041019B push mconfig.00409337                   go
00410441 push mconfig.0040933A                   http://www.qq-520.com/union/tongji1/tongji.asp?pud=
004104F2 mov dword ptr ds:[ebx],mconfig.0040936E ZHA
0041056D mov eax,mconfig.004093B6                e
004105F3 push mconfig.004093B8                   \
004105FD push mconfig.004093BA                   .
0041066B push mconfig.004093B8                   \
00410675 push mconfig.004093BA                   .
004106D5 push mconfig.004093BC                   \Shell\Open\Command\
00410779 push mconfig.004093D1                   "
004107DC push mconfig.004093D1                   "
004109C7 mov eax,mconfig.004093DB                http://down.wghai.com/ec/ip.txt

汗,权限太小,只能传500K,分包下吧~

[ 本帖最后由 Hmilypojie 于 2009-9-24 11:34 编辑 ]

显示全部楼层 · 发表于 2009-9-24 11:34:18

mconfig我已经上传了。在另外一个帖子里面

呵呵，有了链接和txt，应该可以抓了

显示全部楼层 · 发表于 2009-9-24 12:11:28

Starting the file scan:

Begin scan in 'E:\wextract.rar'
E:\wextract.rar
  [0] Archive type: RAR
--> wextract.exe
   [1] Archive type: OVL
   [DETECTION] Is the TR/Dropper.Gen Trojan

[可疑文件] 一个行为比较可疑的东西。大家帮忙判断！

本帖子中包含更多资源

回复 3楼 baerzake 的帖子

本帖子中包含更多资源