瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【警示】想下载“TINY绿色版”,却搞来一大堆木马、流氓!!

1234   3  /  4  页   跳转

【警示】想下载“TINY绿色版”,却搞来一大堆木马、流氓!!

收藏
仙剑VS景天
头像
雄霸杖朝狮
  • 帖子:12362
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-10-30 18:53 | 短消息 资料
字号: 21楼

这么多....
gototop
 

头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-10-30
  • 来自:
发表于: 2006-10-30 19:14 | 短消息 资料
字号: 22楼

强悍
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-10-30 20:37 | 短消息 资料
字号: 23楼

很明显,这可不是单个木马,而是N多个木马和流氓的集合体。

情况大概如下:

解释(为说明方便,用一些简单的符号表示):
1.程序属性
[程序名]--[瑞星报的病毒名或程序所加的壳或(如无壳)它是什么语言写的]

2.如果程序是NSIS(一种安装包封装软件)封装,则展示它解包之后里面实际有的东西,用:
[原程序名]--NSIS->
下面就是它解包后看到的里面原来包含的文件。

3.httpget.ini->一个网址
这个指的是这个ini的内容,即下载器要去下载的程序的url地址

为了清楚,每一级用不同颜色表示

内容物如下:

setup.exe--NSIS->
lala3.exe--PECompact
110373.exe--VC++6.0
5084.exe--VC++6.0
01xb0300_1.9_setup.exe--PECompact
bind_40024.exe--VC++6.0

tubar1238.exe--NSIS->
  install.exe--Dropper.Agent.dxr
  HttpGet16bt8.exe--Trojan.DL.Agent.lqn
  HttpGet.exe--Trojan.DL.GetFile.t
  httpget.ini->http://www.16bt8.com/zhang03.exe

  zhang03.exe--NSIS->
    HttpGet16bt8.exe--Trojan.DL.Agent.lqn
    drsmartload964a.exe--Trojan.DL.VB.ddf
    bind_40315.exe--VC++6.0
    inst96.exe--VC++7.0(?)
    loadadv660.exe--LX-Exe Executable Image

    adv.exe--NSIS->
    HttpGet.exe--Trojan.DL.GetFile.t
    httpget.ini->http://www.yuletx.com/jia.exe

    jia.exe--NSIS->
      198976.exe--Trojan.DL.Agent.wzw
      5156.exe--VC++6.0
      tdsetup.exe--ASPack
      5002.exe--PECompact
      3708.exe--PECompact
      06010.exe--NSIS->……(失去耐性了,料想也是木马或流氓……)
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-10-30 20:41 | 短消息 资料
字号: 24楼



都被你们分析干净了..

流氓+病毒..估计不是下载器 直接释放..
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-10-30 20:52 | 短消息 资料
字号: 25楼

引用:
【mopery的贴子】

都被你们分析干净了..

流氓+病毒..估计不是下载器 直接释放..
………………

既有直接释放的,又有下载器。那些下载器懒得一个个看,反正猫叔已经相当于把它们运行了个遍。
还一个安装包套一个安装包,我真晕。有的安装包图标外貌像maxthon的安装程序,当然全是伪装。
gototop
 
DT40
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-12-18
  • 来自:
发表于: 2006-10-30 22:20 | 短消息 资料
字号: 26楼

现在的病毒真是越来越BT = =!
gototop
 
Greysign
头像
快乐黄口狮
  • 帖子:129
  • 注册: 2006-08-16
  • 来自:
发表于: 2006-10-30 23:55 | 短消息 资料
字号: 27楼

引用:
【轩辕小聪的贴子】很明显,这可不是单个木马,而是N多个木马和流氓的集合体。

情况大概如下:

解释(为说明方便,用一些简单的符号表示):
1.程序属性
[程序名]--[瑞星报的病毒名或程序所加的壳或(如无壳)它是什么语言写的]

2.如果程序是NSIS(一种安装包封装软件)封装,则展示它解包之后里面实际有的东西,用:
[原程序名]--NSIS->
下面就是它解包后看到的里面原来包含的文件。

3.httpget.ini->一个网址
这个指的是这个ini的内容,即下载器要去下载的程序的url地址

为了清楚,每一级用不同颜色表示

内容物如下:

setup.exe--NSIS->
lala3.exe--PECompact
110373.exe--VC++6.0
5084.exe--VC++6.0
01xb0300_1.9_setup.exe--PECompact
bind_40024.exe--VC++6.0

tubar1238.exe--NSIS->
  install.exe--Dropper.Agent.dxr
  HttpGet16bt8.exe--Trojan.DL.Agent.lqn
  HttpGet.exe--Trojan.DL.GetFile.t
  httpget.ini->http://www.16bt8.com/zhang03.exe

  zhang03.exe--NSIS->
    HttpGet16bt8.exe--Trojan.DL.Agent.lqn
    drsmartload964a.exe--Trojan.DL.VB.ddf
    bind_40315.exe--VC++6.0
    inst96.exe--VC++7.0(?)
    loadadv660.exe--LX-Exe Executable Image

    adv.exe--NSIS->
    HttpGet.exe--Trojan.DL.GetFile.t
    httpget.ini->http://www.yuletx.com/jia.exe

    jia.exe--NSIS->
      198976.exe--Trojan.DL.Agent.wzw
      5156.exe--VC++6.0
      tdsetup.exe--ASPack
      5002.exe--PECompact
      3708.exe--PECompact
      06010.exe--NSIS->……(失去耐性了,料想也是木马或流氓……)
………………

请教这些东西是用什么软件解剖出来的.
gototop
 
一水安儿
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-10-31 10:59 | 短消息 资料
字号: 28楼

唉~无奈中……
gototop
 
daisyava
头像
初生襁褓狮
  • 帖子:166
  • 注册: 2005-09-26
  • 来自:
发表于: 2006-10-31 11:23 | 短消息 资料
字号: 29楼


天啊~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-10-31 12:36 | 短消息 资料
字号: 30楼

晕死,这么多病毒
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT