hxxp://www.onegreen.net/Soft_Show.asp?SoftID=*** 
***为任何一个3位数，软件下载页。

hxxp://pp.cx365.cn/pp/js/cx365pp.js
里面N多广告！不知道是哪个还有……懒得再去看。
反正这个有：
hxxp://www.cx365.cn/ganji/ganji2.htm
hxxp://pp.cx365.cn/pp/js/cx365pp.js
然后hxxp://www.3749.cn/5173/pic.htm

判断浏览器类型，如果是FF则
hxxp://www.3749.cn/5173/pic.htm
显示红色“对不起,您访问的页面不存在!”
如果是iE，则
hxxp://www.3749.cn/5173/windows.htm运行代码
language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>

下载运行
hxxp://www.3749.cn/5173/young.gif
hxxp://www.3749.cn/5173/young.css  exe UpackByDwing
    BD Suspect: Dropped:Generic.Malware.SBdld.C27EE256

生成boot.hta,boot.exe
运行并监控 boot.exe发现n多东西。
启动IE下载1.exe 2.exe 3.exe 4.exe 6.exe到缓存。
boot.exe调用cmd.exe生成delme.bat删除boot.exe自身和delme.bat
在programe files\下下载m6.exe，m*.exe …… （*从1到6）boot创建远程连接，并且试图注入其他进程。加入启动项HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\\spoolsv

m6.exe是一个自解压文件，下面m6.exe开始表演
加入自身到
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\WinRAR SFX
注册inproc COM server
m6.exe在programe files\下创建sfx software\安装winPcap并运行进行监听
释放：wpcap.dll wanpacket.dll svch0st.exe packet.dll npf.sys lservers.inf gservers.inf foo
安装并启动服务 Netgroup Packet Filter
其中
  npf.sys：密码监听器在windows2000/xp下运行必须的驱动程序；
  npf.vxd：密码监听器在windows98下运行必须的驱动程序；
  wanpacket.dll：密码监听器运行必须的动态连接库文件；
copy到drivers\npf.sys
system32中，drop： dllzt.dll和dllzt.sls(忘了提出来。)
system32\shellext中drop:svch0st.exe
system32中drop:  svchpsz.exe scchpst.exe spoo1sv.exe wpcap.dll
m6.exe会启动sfx software\SVCH0ST.exe，而SVCH0ST.exe启动sfx software\CTFM0N.EXE


m2.exe创建C:\WINDOWS\rundll32.exe ，dllz.dll
m5.exe创建C:\WINDOWS\system32\dllzt.sls
C:\WINDOWS\System32\svchpsz.exe覆盖且写入dllzt.sls
C:\Program Files\sfx software\CTFM0N.EXE向C:\WINDOWS\SYSTEM32\Drivers\写入npf.sys
C:\Program Files\m1.exe创建C:\WINDOWS\system32\SHELLEXT\svchs0t.exe

m3和m4以及svchpst都是aspack加壳，魔兽世界木马，来自“追风箭实验基地(http://zhuifengjian.51.net/blog2/)”，访这个blog的时候ff还因为wmp挂了，释放svchpst.exe
C: \WINDOWS\System32\svchpst.exe加入启动项，HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\\jiahu，加入HKCU\Software\Microsoft\Windows\ShellNoRoam\ MUICache，并且试图获得debug权限。

m1是FSG2.0加壳，梦幻西游ONLINE木马生成的SHELLEXT\svchs0t.exe 以run键启动
ServerIP--> ServerName-->， 区号，用户名，密码，解锁密码，历史记录可以全部盗走。

m2是UPX加壳，加密，未知，加入启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\rx。

m5是aspack加壳，新浪网游征途测试版木马。svchpsz.exe和其是同一个文件，加入启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\jiahuzt，并且试图获得debug权限。

SVCH0ST.exe 和CTFM0N.EXE是NSANTI加壳，ctfmon是一个hacktool program Tool.Testsniff。SVCH0ST.exe 加入启动HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\shoket，Dr.web解压错误。

注册表改的还改了很多，什么run，runonce ，服务 ，IE\main，toolbarzonemap，"hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2\

iexplore.exe是m2.exe父进程
svchs0t.exe，两个svchpst.exe，svchpsz.exe，SVCH0ST.exe同一级别。SVCH0ST.exe是CTFM0N.EXE父进程,所以用Process Explorer，结束进程树，分7次可轻易结束所有病毒进程。

This is a report processed by VirusTotal on 03/25/2006 at 22:01:28 (CET) after scanning the file "boot.exe" file.

Antivirus    Version    Update    Result
AntiVir    6.34.0.14    03.25.2006    Heuristic/Crypted.Modified
Avast    4.6.695.0    03.25.2006    no virus found
AVG    386    03.24.2006    no virus found
Avira    6.34.0.54    03.25.2006    no virus found
BitDefender    7.2    03.25.2006    Dropped:Generic.Malware.SBdld.C27EE256
CAT-QuickHeal    8.00    03.25.2006    (Suspicious) - DNAScan
ClamAV    devel-20060202    03.24.2006    no virus found
DrWeb    4.33    03.25.2006    DLOADER.Trojan
eTrust-InoculateIT    23.71.111    03.25.2006    no virus found
eTrust-Vet    12.4.2133    03.24.2006    no virus found
Ewido    3.5    03.25.2006    no virus found
Fortinet    2.71.0.0    03.25.2006    suspicious
F-Prot    3.16c    03.23.2006    could be infected with an unknown virus
Ikarus    0.2.59.0    03.24.2006    no virus found
Kaspersky    4.0.2.24    03.25.2006    no virus found
McAfee    4726    03.24.2006    New Malware.n
NOD32v2    1.1458    03.24.2006    probably unknown NewHeur_PE virus
Norman    5.70.10    03.24.2006    W32/Malware
Panda    9.0.0.4    03.25.2006    Suspicious file
Sophos    4.04.0    03.25.2006    no virus found
Symantec    8.0    03.25.2006    no virus found
TheHacker    5.9.7.119    03.24.2006    no virus found
UNA    1.83    03.23.2006    no virus found
VBA32    3.10.5    03.24.2006    no virus found


EF checksum Manager:

5b0d7f335ab2caf84492ad16d5488707 *boot.exe
1c41f534a2a546fb2d2eb6826c87bcc2 *boot.hta
950816b199757c6f95f38ecb5730e3f0 *CTFM0N.EXE
d9b00b2d3e5fac95232d705d31d910b6 *foo
bee2d56838823f13c1fcb5a28b565342 *GServers.inf
b8b8d3837430683b8beff77c346b0655 *LServers.inf
8e5d4b7b48533a77e171c1cdaa10aa60 *m1.exe
1282933e75046660dcfcf5684680b537 *m2.exe
d05de03c17208f09a333cec5228778e6 *m3.exe
d05de03c17208f09a333cec5228778e6 *m4.exe
e9cd6ba14c866e20e8867e26d79ecb6e *m5.exe
8862cda1204e91cc3561b22c17eed901 *m6.exe
ab652dab12afdad853fd59207dd2d68b *Packet.dll
ab44be5bef7864ced429720f2b827c16 *SVCH0ST.exe
d05de03c17208f09a333cec5228778e6 *svchpst.exe
e9cd6ba14c866e20e8867e26d79ecb6e *svchpsz.exe
8e5d4b7b48533a77e171c1cdaa10aa60 *svchs0t.exe
12aa2da30d1d2889511b4c1d14fb99b9 *WanPacket.dll

bitdefender:

boot.exe    Suspect: Dropped:Generic.Malware.SBdld.C27EE256
m2.exe    Infected: BehavesLike:Win32.FileInfector
m3.exe    Suspect: Dropped:Generic.Malware.SM.7976D641
m4.exe    Suspect: Dropped:Generic.Malware.SM.7976D641
unpackedm2.exe    Infected: BehavesLike:Win32.FileInfector
unpackedm3.ExE    Suspect: BehavesLike:Trojan.Downloader
unpackedm4.ExE    Suspect: BehavesLike:Trojan.Downloader
svchpst.exe    Suspect: Dropped:Generic.Malware.SM.7976D641
CTFM0N.EXE    Infected: Trojan.NSAnti.A
SVCH0ST.exe    Infected: Trojan.NSAnti.A
svchpsz.exe和m5和FSG加壳的m1没有报出，脱壳也未报出。其它全部启发。

Dr.web:

ctfmon和svchost是007加壳，除了这两个其它的Dr.web都能启发和报出。

vba32:

D:\virusanalysis\sniffer\boot.hta : 感染了 Trojan-Downloader.JS.Psyme.as#1
D:\virusanalysis\sniffer\CTFM0N.EXE : 是可疑的 Backdoor.PcClient.24
D:\virusanalysis\sniffer\m1.exe : 是可疑的 Malware.Agent.115 (paranoid heuristics)
D:\virusanalysis\sniffer\m2.exe : 是可疑的 Malware.Agent.86
D:\virusanalysis\sniffer\m2_Unpack.exe : 是可疑的 Trojan-PSW.Lmir.24
D:\virusanalysis\sniffer\m5.exe : 是可疑的 Malware.Agent.115 (paranoid heuristics)
D:\virusanalysis\sniffer\m6.exe:<RAR>\CTFM0N.EXE : 是可疑的 Backdoor.PcClient.24
D:\virusanalysis\sniffer\m6.exe:<RAR>\SVCH0ST.exe : 是可疑的 Backdoor.PcClient.24
D:\virusanalysis\sniffer\SVCH0ST.exe : 是可疑的 Backdoor.PcClient.24
D:\virusanalysis\sniffer\svchpsz.exe : 是可疑的 Malware.Agent.115 (paranoid heuristics)
D:\virusanalysis\sniffer\unpackedm1.ExE : 是可疑的 Malware.Agent.115 (paranoid heuristics)
D:\virusanalysis\sniffer\unpackedm5.ExE : 是可疑的 Malware.Agent.115 (paranoid heuristics)
D:\virusanalysis\sniffer\unpackedsvchpsz.ExE : 是可疑的 Malware.Agent.115 (paranoid heuristics)
也不理想，m3,m4,svchpst,boot.exe,都没有报出。

图片：



[
删除
]
图片：



[
删除
]
图片：



[
删除
]
图片：



[
删除
]
图片：



[
删除
]
TPF的track pic

This is a report processed by VirusTotal on 03/25/2006 at 22:12:42 (CET) after scanning the file "boot.hta" file.

Antivirus  Version  Update  Result
AntiVir  6.34.0.14  03.25.2006  no virus found
Avast  4.6.695.0  03.25.2006  no virus found
AVG  386  03.24.2006  no virus found
Avira  6.34.0.54  03.25.2006  no virus found
BitDefender  7.2  03.25.2006  no virus found
CAT-QuickHeal  8.00  03.25.2006  no virus found
ClamAV  devel-20060202  03.24.2006  no virus found
DrWeb  4.33  03.25.2006  no virus found
eTrust-InoculateIT  23.71.111  03.25.2006  no virus found
eTrust-Vet  12.4.2133  03.24.2006  no virus found
Ewido  3.5  03.25.2006  no virus found
Fortinet  2.71.0.0  03.25.2006  no virus found
F-Prot  3.16c  03.23.2006  no virus found
Ikarus  0.2.59.0  03.24.2006  no virus found
Kaspersky  4.0.2.24  03.25.2006  no virus found
McAfee  4726  03.24.2006  JS/Psyme
NOD32v2  1.1458  03.24.2006  no virus found
Norman  5.70.10  03.24.2006  no virus found
Panda  9.0.0.4  03.25.2006  no virus found
Sophos  4.04.0  03.25.2006  no virus found
Symantec  8.0  03.25.2006  no virus found
TheHacker  5.9.7.119  03.24.2006  no virus found
UNA  1.83  03.23.2006  no virus found
VBA32  3.10.5  03.24.2006  Trojan-Downloader.JS.Psyme.as

This is a report processed by VirusTotal on 03/25/2006 at 22:16:48 (CET) after scanning the file "young_1_.gif" file.

Antivirus    Version    Update    Result
AntiVir    6.34.0.14    03.25.2006    no virus found
Avast    4.6.695.0    03.25.2006    no virus found
AVG    386    03.24.2006    no virus found
Avira    6.34.0.54    03.25.2006    no virus found
BitDefender    7.2    03.25.2006    no virus found
CAT-QuickHeal    8.00    03.25.2006    no virus found
ClamAV    devel-20060202    03.24.2006    no virus found
DrWeb    4.33    03.25.2006    no virus found
eTrust-InoculateIT    23.71.111    03.25.2006    no virus found
eTrust-Vet    12.4.2133    03.24.2006    no virus found
Ewido    3.5    03.25.2006    Downloader.Agent.n
Fortinet    2.71.0.0    03.25.2006    no virus found
F-Prot    3.16c    03.23.2006    no virus found
Ikarus    0.2.59.0    03.24.2006    Trojan-Downloader.JS.Agent.N
Kaspersky    4.0.2.24    03.25.2006    Trojan-Downloader.JS.Agent.n
McAfee    4726    03.24.2006    no virus found
NOD32v2    1.1458    03.24.2006    no virus found
Norman    5.70.10    03.24.2006    no virus found
Panda    9.0.0.4    03.25.2006    no virus found
Sophos    4.04.0    03.25.2006    no virus found
Symantec    8.0    03.25.2006    no virus found
TheHacker    5.9.7.119    03.24.2006    no virus found
UNA    1.83    03.23.2006    no virus found
VBA32    3.10.5    03.24.2006    no virus found

刚才专门又去看看，发现绿色软件站论坛也有问题：
用iframe加“教主”：
hxxp://61.138.215.118/bbs/lang/wind/admin/images/index.htm，
加
hxxp://www.hzkudian.com/Emperor/8011W/jiaozhu.htm
暂时打不开。

据hwwgo大侠载入分析：
young.css应该下载的文件*.exe,但*从7后面的文件到10.exe都找不到了。