‹‹ 上一主题 | 下一主题 ››
 142 1 ...6789101112131415
发新话题
打印

[公告] 农具店铺举报专用帖(夜虫儿于08/11/02更新)

本主题由 阿布 于 2008-7-25 23:59 设置高亮
461845246

学前班

帖子
29 
精华
0 
威望
0 度 
金币
54 枚 
性别
男 
来自
徐州 
最后登录
2008-9-24 
91# 发表于 2008-8-31 14:10  只看该作者

病毒

TOP

peter08

MCY

三年级

Rank: 3Rank: 3Rank: 3

帖子
775 
精华
0 
威望
4 度 
金币
1361 枚 
最后登录
2008-12-1 
92# 发表于 2008-8-31 15:19  只看该作者
http://bbs.hackerxfiles.net/thread-118257-1-1.html
bobo-521
发得外部连接远控里捆绑了.

TOP

不好找

一年级

Rank: 1

帖子
55 
精华
0 
威望
0 度 
金币
68 枚 
最后登录
2008-11-20 
93# 发表于 2008-9-7 17:36  只看该作者
http://www.hackerxfiles.net/thread-119195-1-1.html
鸽子主程序好像绑东西了,绿鹰pc万能精灵显示有文件被复制到windows目录

TOP

轩辕楓

二年级

Rank: 2Rank: 2

帖子
291 
精华
0 
威望
32 度 
金币
1870 枚 
来自
家 
最后登录
2008-11-24 
94# 发表于 2008-9-9 02:15  只看该作者

TOP

hackerrose

一年级

Rank: 1

帖子
142 
精华
0 
威望
40 度 
金币
716 枚 
最后登录
2008-11-30 
95# 发表于 2008-9-11 00:02  只看该作者

举报!!

http://www.hackerxfiles.net/thread-119512-1-1.html

先看分析数据:

检查文件是否加壳:未知
编写语言:无法识别  (貌似很强悍)
检查捆绑:发现有捆绑数据,MZ文件头两个

分离出来两个EXE文件
第一个25.1 KB (25,768 字节)
第二个166 KB (170,360 字节)

16进制分析第一个文件:

发现如下代码:
第一段:
DeL!.bAt   
:try   
del " " /a   
if exist "  "
goto try
del %0 /a  

不用看了吧??典型的批处理自杀命令!

第二段:

胛_^[嬪]?  
\   SOFTWARE\Microsoft\Windows\CurrentVersion\Run   
   Beep    U嬱兡許V嬝艵 h?

呵呵,写入启动项....!!!

第三段:

胔ttp://            /dTemp.exe    (下载地址,可惜加密了)
kernel32.dll   
user32.dll  
Shell32.dll
Urlmon.dll  
ShellExecuteA   
URLDownloadToFileA  (调用组件进行下载)
open    U嬱3繳h_i@ d   (这句当然是运行木马了)

看来是个下载者......

第四段:
m@ 岴 -fuck   
-   %ProgramFiles%\
Internet Explorer\IEXPLORE.EXE
%WinDir%\System32\drivers\Beep.sys  
   ,      -fuck "   

呵呵,插入IE进程里边了........

再来看看第二个程序吧:

第一段数据:
   婨鴂^[嬪]?  
Load OK!   
ntoskrnl.exe   
ntkrnlpa.exe   
烫蘒嬱婱婾 鑠   

看来好像要运行ntoskrnl.exe   ntkrnlpa.exe  这两个文件,不晓得做什么
再往下看就知道了

第二段:

这是一段函数声明:
kernel32.dll
DeleteCriticalSection
LeaveCriticalSection
EnterCriticalSection
InitializeCriticalSection
VirtualFree
VirtualAlloc
LocalFree
LocalAlloc
GetVersion
GetCurrentThreadId
GetThreadLocale
GetStartupInfoA
GetModuleFileNameA
GetLocaleInfoA
GetLastError 下载错误
GetCommandLineA
FreeLibrary
ExitProcess
WriteFile 写入文件
UnhandledExceptionFilter
SetFilePointer 定义文件开始
SetEndOfFile 定义文件结束
RtlUnwind
ReadFile 读取文件
RaiseException
GetStdHandle
GetFileSize
GetFileType 下载....
CreateFileA
CloseHandle
user32.dll
GetKeyboardType
MessageBoxA 发送messagebox信息(程序之间传递消息用的)
CharNextA
advapi32.dll
RegQueryValueExA
RegOpenKeyExA
RegCloseKey 注册键???
oleaut32.dll
SysFreeString
kernel32.dll
TlsSetValue
TlsGetValue
LocalAlloc
GetModuleHandleA
advapi32.dll
RegSetValueExA
RegCreateKeyA
RegCloseKey
OpenProcessToken
LookupPrivilegeValueA
AdjustTokenPrivileges
kernel32.dll
lstrcmpiA
WriteProcessMemory
WriteFile 写入文件
WinExec 定义文件为EXE格式
VirtualQueryEx
VirtualProtectEx
VirtualFree
VirtualAlloc
TerminateProcess
Sleep 睡眠(暂停)
SizeofResource
SetThreadContext 设置文件目录??
SetFilePointer
SetFileAttributesA
ResumeThread
ReadProcessMemory
ReadFile 读取文件
OpenProcess
LockResource
LoadResource
LoadLibraryA
GetWindowsDirectoryA
GetThreadContext
GetTempPathA
GetSystemDirectoryA
GetProcAddress
GetModuleHandleA
GetLastError
GetFileSize
GetCurrentProcess
GetCurrentDirectoryA
FreeResource
FreeLibrary
FindResourceA
FindFirstFileA 寻找文件.....
ExpandEnvironmentStringsA
ExitProcess
DeleteFileA
CreateProcessA
CreateFileA
CloseHandle
advapi32.dll
StartServiceA
QueryServiceStatus
OpenServiceA
OpenSCManagerA
CreateServiceA
ControlService
CloseServiceHandle
shell32.dll
ShellExecuteA 执行程序用的组建函数声明

我在旁边都加了注释,对不懂得叉子用

但看这个函数声明好像是用VB编写的

再看下一段
第三段:

好长好长的一段很*的加密代码之后:

&=O8聜7阁$B??          
dStub UTypes  荢ystem
丼ysInit  稶nit_Public KWindows  
繳nit_MyLove  颱nit_Driver         加载驱动???
僒lHelp32 inSvc 3Messages               
? PADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADD
INGPADDINGXXPADDINGPADDINGXXPADDINGvpn.exe  (运行vpn.exe?)
vpn  %WinDir%\System32\svchost.exe(系统进程???)

看样子好像是插入到svchost.exe里

第四段:

有是好长好长的一段很*的加密代码:

真的很长很长.......

快到文件结尾了
突然!

  
http://xiaozhuge.313151.cn/1.exe   下载地址??!!!
   net stop sharedaccess    (DOS下关掉系统自带的防火墙命令)
   )RavMon.exe,avp.exe,360tray.exe,RSTray.exe  (主流杀毒软件进程?)

瑞星,卡巴,360,.......

功夫不负有心人那,终于找到下载地址了,看来还是个过主动防御(结束杀毒软件进程,没有技术性,垃圾)插进程的下载者 !

终于搞定了,看来他发布的那个软件,只是一个换了图标的下载者,一个不够,还被绑了一个!难道这年头都流行买一送一???

哎,人品问题哪。

把他的木马下载下来后,大小695 KB (711,680 字节) (貌似是灰鸽子)
但是通过文件函数分析,貌似是个DDOS攻击软件的服务端。
也没有仔细研究,直接提交杀毒厂商!

本人最痛恨捆绑来传播木马了,没有一点技术含量......


强烈鄙视“小猪哥”,他的垃圾邮箱“278085888@163.com
邮箱名直接是QQ号,加他,骂死他!!!

垃圾!!
本帖最近评分记录
  • yofx 金币 +10 谢谢 分析。已经处理。 2008-10-8 16:26

TOP

7869755

一年级

Rank: 1

帖子
153 
精华
0 
威望
13 度 
金币
408 枚 
性别
男 
来自
火星 
最后登录
2008-11-25 
96# 发表于 2008-9-13 11:36  只看该作者

TOP

zhang1cgeng139

学前班

帖子
精华
0 
威望
0 度 
金币
20 枚 
最后登录
2008-9-13 
97# 发表于 2008-9-13 13:46  只看该作者

[公告] 翔哥远程控制王

http://bbs.hackerxfiles.net/thread-117748-1-4.html                 发现病毒

TOP

espshmily

二年级

Rank: 2Rank: 2

帖子
205 
精华
0 
威望
0 度 
金币
310 枚 
性别
男 
来自
辽宁省朝阳市 
最后登录
2008-11-28 
98# 发表于 2008-9-13 18:18  只看该作者
http://www.hackerxfiles.net/thread-119877-1-1.html
这个里面有2个灌水的,很严重!!!!

TOP

espshmily

二年级

Rank: 2Rank: 2

帖子
205 
精华
0 
威望
0 度 
金币
310 枚 
性别
男 
来自
辽宁省朝阳市 
最后登录
2008-11-28 
99# 发表于 2008-9-13 18:20  只看该作者
http://www.hackerxfiles.net/thread-119629-1-1.html
严重灌水!!!!!!!!!

TOP

lk175251733

学前班

帖子
精华
0 
威望
0 度 
金币
12 枚 
最后登录
2008-9-14 
100# 发表于 2008-9-14 01:17  只看该作者

有马

http://www.hackerxfiles.net/thread-119745-1-1.html


QQ聊天记录偷看器2008版(支持隐藏运行远程发送查看的)

下载地址:http://zjhack.x1.cdn9.com/ceshi/QQsee.rar

TOP

‹‹ 上一主题 | 下一主题 ››
 142 1 ...6789101112131415
发新话题

Processed in 0.044638 second(s), 7 queries, Gzip enabled