发表于: 2008-10-16 18:15 | 显示全部 短消息 资料
字号: 1楼

上报

样本来源:http://bbs.vc52.cn/thread-45451-1-1.html

文件: scan.exe
大小: 186368 字节
MD5: 84A4E02300E45245660E2EABAF71F234
SHA1: 60515827DE6AC18DABB8020CFF0FED960CE3D2BF
CRC32: 4E582823

利用VirtualProtect函数将代码注入其他进程(从0xB10FDF处);

释放文件副本:
%userprofile%\Local Settings\Temp\.tt1.tmp
%userprofile%\Local Settings\Temp\.tt1.tmp.vbs
%userprofile%\Local Settings\Temp\.tt3.tmp
%windir%\system32\blphcltaj0enee.scr
%windir%\system32\lphcltaj0enee.exe
%windir%\system32\phcltaj0enee.bmp;

添加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,lphcltaj0enee指向“%windir%\system32\lphcltaj0enee.exe”;

修改注册表:
HKEY_CURRENT_USER\Control Panel\Desktop,SCRNSAVE.EXE修改其值为“%windir%\system32\blphcltaj0enee.scr”;

添加注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispBackgroundPage其值为“00000001”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage其值为“00000001”
HKEY_CURRENT_USER\Control Panel\Desktop,ScreenSaveActive
HKEY_CURRENT_USER\Control Panel\Desktop,ScreenSaveTimeOut
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver,EulaAccepted;

调用WScript.exe并修改其内存运行"%userprofile%\Local Settings\Temp\.tt1.tmp.vbs"创建inproc COM服务器;

查询RASMAN服务状态出站TCP访问以下IP:
207.46.18.94
77.244.220.134
218.106.90.227;

反复修改文件:
%userprofile%\Local Settings\Temp\.tt3.tmp;

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件附件:

您所在的用户组无法下载或查看附件

不认识我没关系,因为我也不认识你。