QQ上发来的，高质量，大牛测下动作。

F-secure2009

TP的AVG引擎启发干掉：generic22.GxS

随缘9688

回复 9楼 zst470396853 的帖子

现在金山确已了。云还是不错。同意。呵呵

李不知

瑞星KILL，早入库的
今天下午5点到现在，都没升级过····

huangqian202

MSE kill

wmcxdb

2011-4-17 20:48:45    创建文件    阻止
进程: f:\下载\06\像片.exe
目标: C:\321.jpg
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\

2011-4-17 20:48:45    修改文件    阻止
进程: f:\下载\06\像片.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*


2011-4-17 20:48:45    结束其他进程    阻止
进程: f:\下载\06\像片.exe
目标: d:\program files\qq\qq.exe
规则: [应用程序组]●研磨

qq351100394

回复 1楼 随缘9688 的帖子

这是我对该木马做的详细分析，纯人工拼写，如有错误清指出
“像片.exe”
1.向C盘生成一个名为321.jeg图片，并自动将其全屏打开。（“像片.exe”仍驻留在系统中）
2.然后会结束所有名为“QQ.exe”的进程。（“像片.exe”仍驻留在系统中）
3.重新打开QQ后，“像片.exe”会进行底层键盘操作，用户输入密码后，“像片.exe”会自动记录QQ密码，并删除用户填写的密码，然后“像片.exe”自动填写上一部所截取的QQ密码以确认自动记录的QQ密码是否正确。（这步你应该懂得......）（“像片.exe”仍驻留在系统中）
4.密码确认正确后会自动发送密文至183.90.188.109：80。
注：“像片.exe”此时仍未退出.
END...
结论：这个只是个简单的盗号程序，他不像某些木马不但盗你的号，还给你下病毒，下流氓，也没有什么技术含量危险程度：一般。

夜生寒

这太二了。。

qq351100394

回复 15楼 zst470396853 的帖子

这个是我自己做的鉴定：http://bbs.kafan.cn/forum-redire ... fromuid-468177.html

随缘9688

回复 26楼 qq351100394 的帖子

灰常感谢你的分析，只是我在测试中未发现其有联网行为不知何解？
当前用的星星墙

qq351100394

回复 29楼 随缘9688 的帖子

这个程序只有在截取QQ密码之后才会联网的，你没有拿QQ试怎么会知道？