回复:2013年3月1日 病毒样本24只
这么多天过去了还有几个没有入库
wgsdgsdgdsgsd.exe
火眼点评:
检测注入的进程是否为指定进程;确认账户大盗木马,该木马源于国外,其专门盗取存取于本地的各种账户信息,包括ftp账户、远程桌面账户及存储于浏览器中的各种账户信息。其尝试从如下确认的客户端软件配置中提取账号密码。;启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;修改函数入口点属性为可写;运行后删除自身,警惕恶意软件;远程注入其他进程;IE 代理服务器设置;设置远程线程上下文;添加Windows防火墙例外,防止访问网络时被防火墙拦截;创建进程;遍历磁盘类型;创建互斥体...
msdrat.exe
火眼点评:
启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;设置远程线程上下文;下载文件;提升权限;IE 代理服务器设置;创建进程;创建互斥体;在其他进程中申请内存
~tmp1069943342355191510.exe
火眼点评:
通过APC调用机制,远程注入代码并执行;运行后删除自身,警惕恶意软件;下载文件;IE 代理服务器设置;创建进程;在其他进程中申请内存
C962292DFE8E51A9.exe
火眼点评:
隐藏自身到其他目录,常见木马行为;运行后删除自身,警惕恶意软件;拷贝自身到其他目录;查找文件;创建互斥体;添加开机自启动项;隐藏指定窗口
cqknsk77h17dtv1oq0vcqo.exe
火眼点评:
启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;远程注入其他进程;inline Hook 函数入口代码;IE 代理服务器设置;拷贝自身到其他目录;搜索指定窗口;创建进程;创建互斥体;在其他进程中申请内存
