http://173.224.120.75/ww/hostxp.exe

qigang

来自：http://www.threatexpert.com/report.aspx?md5=5c1e6eea4b7fc62bd9e31129555f3102


2.91M，权限不够，无法上传，各自自便。

瓜皮猫

我也不知道怎么下载谁弄到网盘里

歌歌的人

请访问 ThreatExpert web 站点

|

关闭报告

提交摘要：

• 提交的详细信息：
  
  
  
  
  • 收到的提交： 20 10 月 2010，03:31:44
  • 处理时间： 9 分 31 秒
  • 提交的示例：
    
    
    
    
    • 文件 MD5： 0x5C1E6EEA4B7FC62BD9E31129555F3102
    • 民政事务局局长-1 文件： 0x59F64763B9209FB90D16DA239944CD7DDB540E29
    • 文件大小： 81,920 字节
    • 别名： 木马 Downloader.Win32.Genome.azlo [卡巴斯基实验室]
      

• 调查结果的摘要：
  

什么是发现	严重性级别
产生的出站通信。
下载/请求从互联网的其他文件。
创建一个启动注册表项。
注册一个 32 位进程内服务器 DLL。
注册浏览器帮助程序对象 （微软浏览器插件模块）。
包含已确定的安全风险的特征。

技术的详细信息：

可能的安全风险

• 注意 ！发现以下威胁类别：
  

威胁类别	说明
	将文件下载到本地计算机，可能会带来安全风险的程序

文件系统修改

• 在系统中创建以下文件：
  

#	Filename(s)	文件大小	文件哈希	别名
1	%UserProfile%\GraphicsAcelerator3D.exe %Windir%\hostxp.exe	3,091,456 字节	md5： 0x04251bea9457e74394540ad7a2c09ebe 长沙-1： 0x20fecefaaed84d80ab91be9d032c13a424fcc4b9	与包装PE_Patch [卡巴斯基实验室]
2	%UserProfile%\JavaUpdater.fdc	0 字节为单位）	md5： 0xd41d8cd98f00b204e9800998ecf8427e 长沙-1： 0xda39a3ee5e6b4b0d3255bfef95601890afd80709	（不可用）
3	c:\gbjarcg.dll	1,240,576 字节	md5： 0x789c1838b2096268fbd7e21b853dd3d1 长沙-1： 0xa5c565ca15df03d7c9eb106129f5a7f9a546f04f	（不可用）
4	[文件和路径名的示例 # 1]	81,920 字节	md5： 0x5c1e6eea4b7fc62bd9e31129555f3102 长沙-1： 0x59f64763b9209fb90d16da239944cd7ddb540e29	特洛伊木马程序 Downloader.Win32.Genome.azlo [卡巴斯基实验室]

• 备注：
  
  
  
  
  • %用户配置文件是一个变量，它指定当前用户的配置文件的文件夹。 默认情况下，这是 C:\Documents 和 Settings\ [用户名] （Windows NT/2000年/XP)。
  • %是一个变量，指的是 Windows 安装文件夹。 默认情况下，这是 C:\Windows 或 C:\Winnt。
    

内存修改

• 有在系统中创建新的流程：
  

过程名称	进程文件名	主要模块大小
hostxp.exe	%Windir%\hostxp.exe	7,839,744 字节
[文件名的示例 # 1]	[文件和路径名的示例 # 1]	81,920 字节

注册表修改

• 创建以下注册表项：
  
  
  
  
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F} \InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser 帮助 Objects\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F}
    

• 新创建的注册表值：
  
  
  
  
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F} \InprocServer32]
    
    
    
    
    • （默认） ="c:\gbjarcg.dll"
    • ThreadingModel ="公寓"
      
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F}]
    
    
    
    
    • （默认） =""
      
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser 帮助 Objects\ {331B2978-88FF-11 2-8 D D 96-E7ACAC95951F}]
    
    
    
    
    • NoExplorer = 0x00000001
      
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    
    
    
    
    • 3D 加速器 ="%UserProfile%\GraphicsAcelerator3D.exe"
      
    
    因此，GraphicsAcelerator3D.exe 运行每次 Windows 启动时
    

其他详细信息

• 文件资源分析表示以下可能原籍国：
  

俄罗斯联邦

• 有注册的尝试建立与远程主机的连接。 连接的详细信息：
  

远程主机	端口号
173.224.120.75 [td]80[/td][tr]
74.220.215.57 [td]80[/td][tr][/tr]

• 由以下 url 标识的数据，然后从远程 web 服务器请求：
  
  
  
  
  • http://173.224.120.75/ww/hostxp.exe
  • http://dinemrsida23.net/enter.php
    

出站通信 （可能是恶意的）

• 有一个生产在端口 80 上的出站通信：
  

00000000 | 7469 706F 3D63 6C69 2663 6C69 3D43 4F4D | tipo=cli&cli=COM00000010 | 5055 5445 524E 414D 4526                | PUTERNAME&

必应的翻译，但如何下载？http://173.224.120.75/ww/hostxp.exe原来这个是下载地址

歌歌的人

小A

qigang

回复 2楼 三生缘石 的帖子

复制地址下载喽。

qigang

回复 3楼 歌歌的人 的帖子

嗯，帖子标题为下载地址。

s8706042

已上報趨勢~

瓜皮猫

回复 5楼 qigang 的帖子

悲剧。都把这个忘记了

歌歌的人

AVG同样悲剧

尤金卡巴斯基

hostxp.exe - Trojan-Banker.Win32.Banz.fkp

以上文件包含恶意代码，下次更新后即可查杀。