20.47.40 无反应的 bak.css,补下载的7个无反应的文件 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流 20.47.40 无反应的 bak.css,补下载的7个无反应的文件

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

20.47.40 无反应的 bak.css,补下载的7个无反应的文件

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2008-06-06 12:26 \| 只看楼主短消息资料字号：小中大 1楼 20.47.40 无反应的 bak.css,补下载的7个无反应的文件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件文件说明符 : D:\test\bak.css 属性 : A--- M$签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2008-6-6 12:14:28 修改时间 : 2008-6-6 12:14:30 大小 : 2592 字节 2.544 KB MD5 : fe5c9406299aeb0ab34a61423b626425 SHA1: A2A0E2E6FD7E4B9E95975D6DA40502E8D9BFF753 CRC32: 56f66773 AVP___Trojan-Downloader.Win32.Agent.rqj 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) endurer 最后编辑于 2008-06-06 13:33:53 http://blog.csdn.net/purpleendurer 宠辱不惊，笑看堂前花开花落；去留无意，漫随天外云卷云舒。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	分享到：

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-06-06 14:04 \| 短消息资料字号：小中大 2楼回复: 20.47.40 无反应的 bak.css,补下载的7个无反应的文件 Upack 0.39 final加壳，VC所写的win32程序。一个标准的木马下载者。其行为： 1.创建互斥对象"MICK_DOWNLOAD_MUTEX"，如互斥对象已存在，则证明自身另一实例在运行，则退出 2.在%windir%下创建Down_Temp文件夹，并将其属性设为隐藏 3.将URL地址http://513389.cn/808.txt下载到%windir%\Down_Temp\list.jpg，如一次下载不成功则每隔8888ms再试一次，直到下载成功 4.打开list.jpg读取第一行的数字。如读取不成功，则删除之并退出。 5.尝试打开%windir%\Down_Temp\edit.jpg，如打开不成功（文件不存在）则跳到第7步 6.读取edit.jpg第一行的数字，将list.jpg第一行的数字与之比较。如果list.jpg中的数字较大，就继续，否则退出 7.循环读取list.jpg第二行开始每行的URL地址，创建新线程将其下载到%windir%\Down_Temp中，保存为以数字为文件名的.exe文件，并调用CreateProcessA运行之。 808.txt内容： [复制到剪贴板] CODE: 43 http://163a.optioner.cn/yd.exe http://163a.optioner.cn/y0.exe http://163a.optioner.cn/y1.exe http://163a.optioner.cn/y2.exe http://163a.optioner.cn/y3.exe http://163a.optioner.cn/y4.exe http://163a.optioner.cn/y5.exe http://163a.optioner.cn/y6.exe http://163a.optioner.cn/y7.exe http://163b.optioner.cn/y8.exe http://163b.optioner.cn/y9.exe http://163b.optioner.cn/y10.exe http://163b.optioner.cn/y11.exe http://163b.optioner.cn/y12.exe http://163b.optioner.cn/y13.exe http://163b.optioner.cn/y14.exe http://163b.optioner.cn/y15.exe http://163b.optioner.cn/y16.exe http://163b.optioner.cn/y17.exe http://163b.optioner.cn/y18.exe http://163c.optioner.cn/y19.exe http://163c.optioner.cn/y20.exe http://163c.optioner.cn/y21.exe http://163c.optioner.cn/y22.exe http://163c.optioner.cn/y23.exe http://163c.optioner.cn/y24.exe http://163c.optioner.cn/y25.exe http://163c.optioner.cn/y26.exe http://163c.optioner.cn/y27.exe http://163c.optioner.cn/y28.exe http://163c.optioner.cn/y29.exe 本帖被评分 1 次本帖被评分 1 次轩辕小聪最后编辑于 2008-06-06 14:05:51 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2008-06-06 14:29 \| 短消息资料字号：小中大 3楼回复：20.47.40 无反应的 bak.css,补下载的7个无反应的文件小聪版主真是强
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-06-06 15:40 \| 短消息资料字号：小中大 4楼回复：20.47.40 无反应的 bak.css,补下载的7个无反应的文件瑞星能脱不查家族扫描应可以报毒艾玛最后编辑于 2008-06-06 15:58:30
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2008-06-06 15:52 \| 短消息资料字号：小中大 5楼回复: 20.47.40 无反应的 bak.css,补下载的7个无反应的文件引用: 原帖由艾玛于 2008-6-6 15:40:00 发表瑞星能脱不查原来是这里的 [复制到剪贴板] CODE: hxxp://user1.12-27.net/bak.css MD5: FE5C9406299AEB0AB34A61423B626425
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT