天星哥哥 - 2008-2-26 18:17:00
解密了一个网马,
得到如下木马地址:
http://user1.1a2b3c0.net/bak.css
伪装成CSS了,留个高手分析吧,我继续抓马,呵呵.
哪位大鸟分析完,记得给我发份分析报告.
我的邮箱: 7668765@qq.com
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )
baohe - 2008-2-26 22:01:00
| 引用: |
【天星哥哥的贴子】解密了一个网马,
得到如下木马地址:
http://user1.1a2b3c0.net/bak.css
伪装成CSS了,留个高手分析吧,我继续抓马,呵呵.
哪位大鸟分析完,记得给我发份分析报告.
我的邮箱: 7668765@qq.com
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )
……………… |
这个毒貌似有毛病。
将bak.css改名为bak.exe运行。
bak.exe运行后释放并加载:
C:\Documents and Settings\Lenovo\Local Settings\Temp\~56.tmp
此后~56.tmp被自动删除。
然后观察到下列文件释放:
c:\1.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\bak.exe\
C:\Documents and Settings\Lenovo\Local Settings\Temporary Internet Files\Content.IE5\DJYJTEUT\ctfmon[1].exe
c:\1.exe加载运行时报错。
上述三个文件可以手工删除。
就这些。删除的病毒文件在附件中(密码:123)。
附件:
1558472008226214949.rar
天星哥哥 - 2008-2-27 19:18:00
谢谢斑竹的分析.
© 2000 - 2026 Rising Corp. Ltd.