一个图标伪装成rar自解压文件，集成和下载流氓软件，插件和木马的病毒样本

显示全部楼层 · 发表于 2010-1-3 03:00:18

http://temp.52zy.com:8898/Setup.Crack.v3.0.exe

很大，4.44M。

nod32：
Setup.Crack.v3.0.rar > RAR > Setup.Crack.v3.0.exe > INNO > files.info - 文件不是压缩文件
多引擎查毒，除AVG，过绝大多数主流。
抱着这两天有做过镜像能原地满状态复活的想法直接运行了，于是给我自动安装了一些软件和流氓插件，木马倒是被nod32直接隔离了，软件和插件还得用360手工去卸。

显示全部楼层 · 发表于 2010-1-3 03:24:34

本帖最后由 username 于 2010-1-3 03:25 编辑

Setup.Crack.v3.0.exe
{
生成
dockbar200004.exe
{
生成物（好乱懒得看

}
winrar.exe
{
下载
http://down5.flashget.com/unmini/fgmun_782_3.exe
http://download.iciba.com/upwl/powerwordpes.12129.0.exe
http://down.kuwo.cn/mbox/ab2/kwun/7/music_kwun2508.exe
http://neirong.funshion.com/software/download.php?id=57746&f=FunshionInstall2.0.0.25Beta.exe
http://download.coopen.cn/setup/v5/coopen_setup_200241.exe
http://download.avantbrowser.cn/35/574635/8776424/setup.exe
http://asdf.52zy.com/Powerword_Update.exe
http://asdf.52zy.com/Avant.exe
}
}

显示全部楼层 · 发表于 2010-1-3 04:25:08

本帖最后由 ROUND5 于 2010-1-3 04:30 编辑

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8250BF1B-E6E5-491E-A697-A06BF7CA6FBA}]
@="上网导航助手"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8250BF1B-E6E5-491E-A697-A06BF7CA6FBA}\InprocServer32]
@="C:\\Windows\\system32\\win32ie.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8250BF1B-E6E5-491E-A697-A06BF7CA6FBA}\ProgID]
@="win32ie.myBHO"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\win32ie.myBHO]
@="上网导航助手"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\win32ie.myBHO\Clsid]
@="{8250BF1B-E6E5-491E-A697-A06BF7CA6FBA}"

复制代码

C:\ProgramFiles\CommonFiles\Exist.ini
C:\ProgramFiles\DoCkBar\doCkbar.dll
C:\ProgramFiles\DoCkBar\doCkbar.exe
C:\ProgramFiles\DoCkBar\doCkbar.ini
C:\ProgramFiles\DoCkBar\flgame.exe
C:\ProgramFiles\DoCkBar\images\*.bmp
C:\ProgramFiles\DoCkBar\images\skin\*.png
C:\ProgramFiles\DoCkBar\menu.exe
C:\ProgramFiles\DoCkBar\MiniDoCk.exe
C:\ProgramFiles\DoCkBar\Tool.exe
C:\ProgramFiles\DoCkBar\winie.dll
C:\Users\Public\Desktop\我的桌面导航.lnk
C:\Windows\DoCkBar\INSTALL.LOG
C:\Windows\DoCkBar\UNWISE.EXE
C:\Windows\system\winie.dll
C:\Windows\task.bat

复制代码

task.bat注册并隐藏win32ie.dll

显示全部楼层 · 发表于 2010-1-3 04:27:30

TR/Dldr.AutoIt.NB -avira

显示全部楼层 · 发表于 2010-1-3 12:13:24

本帖最后由 pan66000 于 2010-1-3 12:14 编辑

to KL
在安全免疫区中运行过了，主动防御报的很多。

显示全部楼层 · 发表于 2010-1-3 13:33:57

微点

显示全部楼层 · 发表于 2010-1-3 14:21:43

咋回事？？版主呢？？卡巴回复不是病毒

Hello,

No malicious software was found in the attached file.

Regards, Vladislav Pintiysky
Virus Analyst

>From: pan66000@163.com
>Sent: 03.01.2010 7:11:00
>To: "New Virus" <newvirus@kaspersky.com>
>Subject: virus
>
> http://temp.52zy.com:8898/Setup.Crack.v3.0.exe
> Please check whether it is a virus.
>
>
>
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

显示全部楼层 · 发表于 2010-1-3 15:07:46

双击运行之后没过微点~！

显示全部楼层 · 发表于 2010-1-3 16:30:52

木马已经拒之门外，插件需要360来处理。呵呵、、

[病毒样本] 一个图标伪装成rar自解压文件，集成和下载流氓软件，插件和木马的病毒样本

本帖子中包含更多资源

本帖子中包含更多资源