瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 昨晚中了一个木马,请高人分析一下!

1   1  /  1  页   跳转

[求助] 昨晚中了一个木马,请高人分析一下!

收藏
自由万岁
头像
社区嘉宾
  • 帖子:11676
  • 注册: 2003-01-07
  • 来自:常山
发表于: 2010-01-20 21:30 | 只看楼主 短消息 资料
字号: 1楼

昨晚中了一个木马,请高人分析一下!

其实这个家伙我早就从网上听说了,就是某网友接收了一个图片,然后QQ被盗,qq好友被请求给盗号者汇钱!
我收到这个rar文件后,用avast和360安全卫士都没发现有问题,解压后有一个后缀为scr的屏保文件,再打开屏保文件的同时,木马植入了,强制关闭qq,把qq文件替换成盗号器,这时候如果马上打开qq输入密码就会向盗号者发东东了呵呵!其实分辨也很简单,感觉这个盗号器的窗口比真实的qq窗口略小,而且qq号码的账号信息不能删除了,郁闷的是360保险箱居然对此没有察觉呵呵!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SE 1.X; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; SE 1.X)

附件附件:

下载次数:297
文件类型:application/octet-stream
文件大小:
上传时间:2010-1-20 21:30:10
描述:rar
分享到:
gototop
 
五花草甸
头像
锋芒艾服狮
  • 帖子:1588
  • 注册: 2009-08-04
  • 来自:
发表于: 2010-01-20 21:46 | 短消息 资料
字号: 2楼

回复:昨晚中了一个木马,请高人分析一下!

建议把病毒样本发给瑞星,地址为:http://mailcenter.rising.com.cn/FileCheck/
提交后,可自行查询处理进度。
一切皆有可能。
2011常见问题请参考:
http://www.ikaka.com.cn/csc_faq/index.shtml
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-01-21 09:30 | 短消息 资料
字号: 3楼

回复: 昨晚中了一个木马,请高人分析一下!



引用:
原帖由 自由万岁 于 2010-1-20 21:30:00 发表
其实这个家伙我早就从网上听说了,就是某网友接收了一个图片,然后QQ被盗,qq好友被请求给盗号者汇钱!
我收到这个rar文件后,用avast和360安全卫士都没发现有问题,解压后有一个后缀为scr的屏保文件,再打开屏保文件的同时,木马植入了,强制关闭qq,把qq文件替换成盗号器,这时候如果马上打开qq输入密码就会向盗号者发东东了呵呵!其实分辨也很简单,感觉这个盗号器的窗口比真实的qq窗口略小,而且



下载你的样本,在影子系统中运行了一下。观察到的病毒动作如下:


此毒替换C:\Program Files\Tencent\QQ\Bin\QQ.exe(大小为828KB)






另在C:\Program Files\Tencent\QQ\Bin目录下释放qqdat.exe和UES.EDB两个病毒文件。


这些病毒文件在附件中(无密码)。

附件附件:

文件名:Bin.rar
下载次数:268
文件类型:application/x-rar-compressed
文件大小:
上传时间:2010-1-21 9:29:57
描述:rar

最后编辑baohe 最后编辑于 2010-01-21 09:32:54
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT