让你臣服 - 2010-8-1 15:49:00
很久没有用过杀毒软件了。 大前天的大前天,我无意发现麦咖啡的防火墙弹出一个程序(update.exe)运行请求,甚是可疑。 于是把它禁止了,紧接着又是一个starup.exe
我突然后背一辣。隐约感到自己有中毒的可能。于是开启了刚升级的瑞星2010进行了C目录的查杀
谁知竟然对这两个程序文件毫无反应,
顺着日志记录,我来到当事文件目录一探究竟,发现是一个自称Newgameupdate的程序,签名厂商 是上海欢熊信息技术有限公司。百度一下,发现这熊果然够”欢“。 是专门承接流氓软件制作的正规公司
附件: 您所在的用户组无法下载或查看附件
我想到了瑞星可疑文件上报(我本来以为是上传给专家分析的) ,结果却令我失望。
仅仅是扫了一下就判断为安全。 不怪你,瑞星,我想这么多文件真人也分析不过来。
于是自己进行了一番调查,详细内容就省了。发现欢熊其中的日志记录牵扯及令一文件1280644884.exe
附件: 您所在的用户组无法下载或查看附件
用peid内核查壳为 vc++ 为了保险起见,我没有用以往的舍子套狼法进行安全性验证。(就是运行并分析其动作) 而是很小菜的用C32asm 16位打开随机看了一遍内容。。
结果这一随机让事件变得水落石出。
见图
附件: 您所在的用户组无法下载或查看附件
其上赫然映出 360safe 这扎眼的一段
同志们大概分析出一二了。这款未被病毒库记录流氓软件其实已经担下下载者的重担,成为真正意义的下载者
所列其余的杀毒大家也不陌生吧,这就是一个木马。
最后来张流氓全家福
附件: 您所在的用户组无法下载或查看附件
样本
附件: 您所在的用户组无法下载或查看附件
我突然后背一辣。隐约感到自己有中毒的可能。于是开启了刚升级的瑞星2010进行了C目录的查杀
谁知竟然对这两个程序文件毫无反应,
顺着日志记录,我来到当事文件目录一探究竟,发现是一个自称Newgameupdate的程序,签名厂商 是上海欢熊信息技术有限公司。百度一下,发现这熊果然够”欢“。 是专门承接流氓软件制作的正规公司
附件: 您所在的用户组无法下载或查看附件我想到了瑞星可疑文件上报(我本来以为是上传给专家分析的) ,结果却令我失望。
仅仅是扫了一下就判断为安全。 不怪你,瑞星,我想这么多文件真人也分析不过来。
于是自己进行了一番调查,详细内容就省了。发现欢熊其中的日志记录牵扯及令一文件1280644884.exe
附件: 您所在的用户组无法下载或查看附件用peid内核查壳为 vc++ 为了保险起见,我没有用以往的舍子套狼法进行安全性验证。(就是运行并分析其动作) 而是很小菜的用C32asm 16位打开随机看了一遍内容。。
结果这一随机让事件变得水落石出。
见图
附件: 您所在的用户组无法下载或查看附件其上赫然映出 360safe 这扎眼的一段
同志们大概分析出一二了。这款未被病毒库记录流氓软件其实已经担下下载者的重担,成为真正意义的下载者
所列其余的杀毒大家也不陌生吧,这就是一个木马。
最后来张流氓全家福
附件: 您所在的用户组无法下载或查看附件样本
附件: 您所在的用户组无法下载或查看附件