样本，网盾报安全，n360扫描未发现威胁

显示全部楼层 · 发表于 2011-5-15 10:54:14

回复 20楼 jefffire 的帖子

嗯
我也正想问问密码是什么呢。真是个诡异的病毒啊

显示全部楼层 · 发表于 2011-5-15 11:08:15

回复 16楼 jefffire 的帖子

未入库，一般启发不报，高启发才报。那个帖子里的样本好像加了密吧。

显示全部楼层 · 发表于 2011-5-15 11:10:01

镜湖发表于 2011-5-15 11:08
回复 16楼 jefffire 的帖子

未入库，一般启发不报，高启发才报。那个帖子里的样本好像加了密吧。

原来是高启发。可能那个帖子LZ没开高启发吧。
这个样本的加密正是诡异之处。具体看20L。

显示全部楼层 · 发表于 2011-5-15 11:16:28

本帖最后由 IllusionWing 于 2011-5-15 11:16 编辑

回复 20楼 jefffire 的帖子

密码还是在DLL里面。DLL里面的ZIP仅仅是一部分资源。密码在代码区块里。
LoadLibrary的时候会加载DLL的EntryPoint

显示全部楼层 · 发表于 2011-5-15 11:19:34

回复 24楼 IllusionWing 的帖子

孩子他妈V5

显示全部楼层 · 发表于 2011-5-15 11:20:27

IllusionWing 发表于 2011-5-15 11:16
回复 20楼 jefffire 的帖子

密码还是在DLL里面。DLL里面的ZIP仅仅是一部分资源。密码在代码区块里。

也就是说这玩意儿确实是个PE，把毒加密压缩放在了资源里？

显示全部楼层 · 发表于 2011-5-15 11:24:00

回复 23楼 jefffire 的帖子

密码是784710000
HaoZip.dll的0x6E31C->0x6E325

显示全部楼层 · 发表于 2011-5-15 13:17:50

本帖最后由 fatezero 于 2011-5-15 13:18 编辑

Hello,

apr.ace.HaoZip.dll - Trojan-PSW.Win32.Alipay.he

New malicious software was found in this file. Its detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Regards, Fedor Sinitsyn
Virus Analyst

等入库

显示全部楼层 · 发表于 2011-5-15 14:40:41

本帖最后由 hj5abc 于 2011-5-15 14:43 编辑

回复 23楼 jefffire 的帖子

ycode.dll是关键？

运行imgconvert后，mse隔离C:\360Log\ycode.dll
然后HaoZip.exe就提示找不到ycode.dll 初始化失败只留下C:\360LOG内几个文件
但为什么开着UAC，为什么这个病毒可以在C盘创建360Log生成一堆文件？

显示全部楼层 · 发表于 2011-5-15 17:42:25

回复 29楼 hj5abc 的帖子

UAC不防在C盘根目录写东西

[其他相关] 样本，网盾报安全，n360扫描未发现威胁

评分

评分