毒窟(研究用) Virus Trojan Resource |
|
TITLE |
+ |
- |
FILE NAME |
+ |
- |
DATE |
+ |
- |
POSITION |
+ |
- |
|
|
主播裸照_com.rar又是個對岸產物445 views信件來源IP:220.162.105.133
(對岸福建動態IP)
信件標題:
本土十大美女主播裸體寫真{附圖}
信件內容:
本土著名娛樂主播拍裸體寫真喔..
性感的身體跟美麗的臉蛋ㄇ不可錯
過.快來看看吧
檔名:主播裸照.com
外殼為UPX壓縮
一樣為WinRAR自解壓縮檔
看樣子,這個已經成了對岸常用的模組..
卡巴斯基線上掃描 07/01/14 無反應
棍,把我當試毒劑嗎?jokera
|
|
VirTEMP03.rarVirusTEMP 03607 views主要是號稱為 楓之谷 外掛
甚至卡巴斯基有檔案掃不到的...
此壓縮檔裡面的幾乎可以確定都是木馬
線上掃瞄日期:2006/08/03
fSdll.dll - infected by Trojan-PSW.Win32.Lineage.adg
hmmapi.dll - OK
iedw.exe - OK
rundl132.exe - infected by Trojan-PSW.Win32.Gamania.en
svchost.exe - infected by Trojan-PSW.Win32.Gamania.el
svhost32.exe - infected by Trojan-PSW.Win32.Lineage.aco
2/d1.dat - OK
2/d2_.exe - infected by Trojan-PSW.Win32.Lineage.aco
2/dllf.dll - infected by Trojan-PSW.Win32.Lineage.aco
2/dlyy.dll - infected by Trojan-PSW.Win32.Gamania.em
2/e1.dat - OK
2/e1.exe - infected by Trojan-PSW.Win32.Lineage.adg
2/fS.dat - OK
2/fS.exe - infected by Trojan-PSW.Win32.Gamania.en
2/PDLL.dll - infected by Trojan-PSW.Win32.Delf.nl
2/rundll32.exe - infected by Trojan-PSW.Win32.Mefs.f
2/svhost32.exe - infected by Trojan-PSW.Win32.Lineage.aco
af.dat - OK
af.exe - infected by Trojan-PSW.Win32.Gamania.en
d1.dat - OK
d2_.exe - infected by Trojan-PSW.Win32.Delf.of
e1.dat - OK
e1.exe - infected by Trojan-PSW.Win32.Mefs.f
老話一句
愛用就找死吧
|
|
VirTEMP04.rarDangerFiles341 viewsVirTEMP04.rar/shawo877kdll.dll.vir - infected by Trojan-PSW.Win32.Lineage.xg
VirTEMP04.rar/IEXPLORE.exe.vir - infected by Trojan-PSW.Win32.Lineage.xg
VirTEMP04.rar/3OUP96.DLL.VIR - infected by Trojan-PSW.Win32.Lineage.zl
|
|
Virtemp01.rar病毒暫存01426 viewsrundll32.exe Trojan-PSW.Win32.Lineage.abd
svchost.exe Trojan-PSW.Win32.Delf.nl
svhost32.exe Trojan-PSW.Win32.Delf.nojokera
|
|
VirTemp02.rar病毒暫存02 Trojan-PSW442 views清一色為Trojan-PSW
WinAF.tmp.exe.exe - Win32.Lineage.my
Kerne141.exe - Win32.Lineage.my
microsoftie41.dll - Win32.Gamania.ba
pbdll.dll - Win32.Gamania.as
rodll.dll - Win32.Delf.fz
rundll132.exe - Win32.Delf.fz
svchost.exe - Win32.Lineage.achjokera
|
|
060813Troj.rar060813 盜取帳號按鍵記錄1045 views會中這隻,真的應該去死一死算了
因為只有色情變態才會中.
卡巴當然掃不到(0814)
會在Windows目錄生成svchost.exe
在system32裡放個PDLL.dll
大概看了一下二進位內容
應該還是盜用橘子帳號為主
並會自動將結果發信至某處
經典激情圖片.com.vir為透過信件傳播的本體
為Winrar自解執行
內有1.sfx.exe為正體,經過upx壓縮jokera
|
|
chaoshunvir.rar從某立委服務處電腦抓出來的..584 viewsxiw828isidll.dll.vir - infected by Trojan-PSW.Win32.Lineage.afi
iexplore.exe.vir - infected by Trojan-PSW.Win32.Lineage.afi
msyagi.com.vir - infected by Backdoor.Win32.Beastdoor.av
虧他們還有裝趨勢...
這類盜取帳號鍵盤記錄的最大特徵
開個cmd視窗,打字速度會異常的慢..
目前遇到的,沒有例外.
jokera
|
|
Virtemp05.rar360 viewsVirtemp05.rar/photo7.scr.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Delf.qe
Virtemp05.rar/systemin.exe.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Gamania.gf
Virtemp05.rar/photo6.scr.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Gamania.gf
卡巴斯基線上掃描竟然會漏掉systemin.scr.vir
掃描日期20060913 10:10p
木馬來源網站
http://www.gamanir.com/
都是rar自解檔偽裝
中標時會自動從該網站上下載另外三個檔案
http://www.gamanir.com/exe/lineage.exe
http://www.gamanir.com/exe/seal.exe
http://www.gamanir.com/exe/fenggu.exejokera
|
|
Virtemp05_.rar405 viewsVirtemp05.rar的另一個壓縮版本
解開來的檔案都在
winlogin.exe
ciau38dll.dll
Anskya0.exe
Anskya1.exe
Anskya2.exe
dllf.dll
xwdll.dll
seal.exe
lineage.exe
fenggu.exe
svhost32.exe(兩個不同目錄且不同的檔案)
SV0H0ST.exejokera
|
|
VirTEMP06.rar363 viewsUSB.EXE - infected by Trojan-PSW.Win32.Lineage.ahv
dllf.dll - infected by Trojan-PSW.Win32.Lineage.aco
download.exe - infected by Trojan-PSW.Win32.Lineage.aco
g0ld.exe - infected by Trojan-PSW.Win32.Lineage.ahv
Kerne0223.dll - infected by Trojan-PSW.Win32.Gamania.eh
Kerne0223.exe - infected by Trojan-PSW.Win32.Gamania.eh
mssbupx.dll - infected by Trojan-PSW.Win32.Maran.o
server.exe - infected by Trojan-PSW.Win32.Maran.o
svhost32.exe - infected by Trojan-PSW.Win32.Lineage.acojokera
|
|
Virtemp07.rar406 views1.sfx.exe/data.rar\1.exe/UPack Trojan-PSW.Win32.Lineage.akx
1_.sfx.exe/data.rar\1.exe/UPack Trojan-PSW.Win32.Lineage.akx
d2_.exe/UPack Trojan-PSW.Win32.Delf.qm
hydll.dll Trojan-PSW.Win32.Delf.qm
hye1.exe Trojan-PSW.Win32.Delf.li
PDLL.dll Trojan-PSW.Win32.Lineage.akx
rundl132.exe Trojan-PSW.Win32.Delf.li
svchost.exe/UPack Trojan-PSW.Win32.Lineage.akx
svhost32.exe/UPack Trojan-PSW.Win32.Delf.qm
dlyy.dll 掃不到 XD
|
|
Virtemp08.rar頗糟糕的木馬..407 viewswintems.exe - infected by Email-Worm.Win32.Bagle.gi
hidn2.exe - infected by Email-Worm.Win32.Bagle.gm
m_hook.sys - infected by Email-Worm.Win32.Bagle.gm
re_file.exe - OK
flec006.exe - infected by Trojan-Downloader.Win32.Bagle.y
ixnkmdixmpva.exe - infected by Email-Worm.Win32.Bagle.gm
隨著Email傳播,會有一個加密壓縮檔外加一個圖檔
圖檔為壓縮檔的密碼
笨笨的會以為是重要檔案就解開來執行........
ixnkmdixmpva.exe為信件附檔解開來的原始木馬
其它為衍生物及復活檔jokera
|
|
Virtemp09.rar這一陣子看起來最扯的病毒.319 views中標途徑很簡單
開個網頁就中了,什麼警告訊息完全沒有
來源是對岸特地做出來的假無名站台
http://www.wretcn.cc/album/sky520sky
目前還未深入研究,因為電腦已經重灌了(就是我的電腦 Orz)
會直接"替換"掉系統重要檔案,So,萬一中了,請準備重灌..
讓我陰溝裡翻船啊 Orz
甚至是直接修改重要執行檔的DLL連結清單..請比較notepad.exe就知道了..
所以你所執行的程式,都有可能已被篡改jokera
|
|
Virtemp09b.rarVirtemp09的實驗1:Windows 2000401 views環境為Windows 2000 Professional
似乎只開網頁還不太會中..
最後直接執行wretcn.exe手動安裝 XD
會另外從網路下載三個檔案
http://www.gamanai.net/test/gamanai.exe 10/26
http://www.gamanai.net/test/rxjh.exe 10/11
http://www.gamanai.net/test/jushang.exe 10/19
檔案後面為檔案更新日期
會在system32多一堆檔案..
目前的防毒軟體理應能掃到絕大多數
感覺上,是針對Windows XP
0.exe
jsdll.dll
Kerner0826.dll
Kerner0826.exe
msnfile.dll
msnfile.exe
svhost32.exe
wdfmgr32.exe
不知道多個"頻道螢幕保護裝置.scr"是幹啥的.jokera
|
|
Virtemp10.rar061208326 views最近很流行這種RAR自解壓縮檔偽裝的..
好像變成對岸試毒的方式之一.
寄出病毒信來源IP 222.78.66.243
卡巴斯基線上掃描於20061209,掃不到.
謎底.com.rar/data.rar/archive comment - OK
謎底.com.rar/data.rar/謎底.txt - OK
謎底.com.rar/data.rar/7.sfx.exe/data.rar/archive comment - OK
謎底.com.rar/data.rar/7.sfx.exe/data.rar/7.exe - OK
謎底.com.rar/data.rar/7.sfx.exe/data.rar - OK
謎底.com.rar/data.rar/7.sfx.exe - OK
謎底.com.rar/data.rar - OK
謎底.com.rar - OKjokera
|
|
Virtemp11.rar這一陣子華碩官網被人放的木馬349 views來源網頁 http://tw.asus.com
木馬起始連結 http://www.hiet.tw/1.htm
透過http://www.plmq.com/script/src/code.js解碼
http://www.yyc8.com/script/src/rss3.css為下載的木馬本體
木馬目前06/12/16還有在更新..
比較扯的是,台灣跳台在Hinet,2004年就中標了?
(檔案日期04/06/22)
jokera
|
|
070323.rar2007.03.23 Yahoo寄來279 views寄件來源:220.161.159.96
標題:單單愛的日記
內容物:愛的日記.com.vir fgdsg.com.vir
卡巴斯基線上掃描掃不到
http://www.virustotal.com/en/indexf.html
這邊可以測能掃到的有幾套.
掃描結果請看同名gifjokera
|
|
070323.gif276 views070323.rar 透過
http://www.virustotal.com/en/indexf.html
掃描結果jokera
|
|
game_com.rarTrojan-PSW.Win32.Maran.eq286 viewshttp://www.wayigame.com/game.com
該病毒更新日期 2007/05/07
該病毒本體為RAR自解檔
內有 1.jpg , server.exe
預設解開至%systemroot%\tempjokera
|
|
photo_vir.rarPCDVD TIDUS30536網友提供258 views一層前導
內嵌UPX壓縮exe檔
jokera
|
|
192 files on 10 page(s) |
|
1 | |
|
|
|
|
|
|
|
|
|