| 搜尋結果 - "木馬" |
0525_tw_lineage_org_tw.rar0525 即時通木馬本體441 次觀看只有一個girls.exe執行檔
image.htm為主網頁
vieerdll.dll為中標後
置於system32的衍生物,用途為連線至
http://www.spr1t3.com/jmail.asp
發送資料信件??
http://www.spr1t3.com/update.xml
得知目前最新版本??
|
|
0608_tw_lineage_org_tw.rar0608 即時通木馬本體435 次觀看girls.exe為主要執行檔
lEXPRESS.exe為透過ActiveX安裝之同內容檔案
image.htm為主網頁
頁尾包含了netzs.htm
執行檔有經過該作者使用upx壓縮
中標後,
在Windows目錄生成IEXPLORE.exe
在system32生成xreg33dll.dll
傳訊時可能有另一種連結
http://tw.lineage.org.tw/photo/jpg1jpg.exe
是為同內容的檔案
|
|
0531_tw.lineage.org.tw.rar0531 發佈的即時通木馬445 次觀看主要傳播網址
http://tw.linage.org.tw/photo/image.htm
girls.exe為主要木馬檔
lexpress.exe為透過ActiveX安裝之木馬
執行後
在Windows目錄生成IEXPLORE.exe
並在System32裡生成xd83rssddll.dll
及up.exe
|
|
0615_tw_lineage_org_tw.rar0615 即時通木馬本體及衍生物471 次觀看girls.exe,lEXPRESS.exe,jpg1jpg.exe為本體
會在system32裡生成兩個檔案
23sidfdll.dll及可能的up.exe
dll為執行檔本體後半所脫離出來之程序
目前木馬版本為透過
http://www.spr1t3.com/update.xml
得知為1.5
注意:
tw.lineage.org.tw及www.spr1t3.com
兩個均為木馬作者的假像網站jokera
|
|
0516_tw_lineage_org_tw.rar0516 即時通木馬本體453 次觀看image.exe為本體
kittydll.dll為中標後的衍生物jokera
|
|
YMSGAnother.rar常見的即時通木馬其它種413 次觀看傻眼..很多這種號稱.scr的
根本就是RAR自解檔
裡面竟然還有MPG檔案- -||
日期跟放在Server上的日期相同
原始木馬下載路徑:
http://www.phonetw.com/photo/20060329_r30334547.scr
http://yahoolove.vicp.net/a.com
http://gangdao1.w67a.chinanetidc.com/ggwe.scr
http://www.phonetw.com/wisdom/image_0976.scr
http://www.yahoo119.net/love.com
http://www.phonetw.com/images/p597446_jpg.scr
http://bbs.taiwan-home.com/photo/r060411_052159.scrjokera
|
|
VirTEMP03.rarVirusTEMP 03603 次觀看主要是號稱為 楓之谷 外掛
甚至卡巴斯基有檔案掃不到的...
此壓縮檔裡面的幾乎可以確定都是木馬
線上掃瞄日期:2006/08/03
fSdll.dll - infected by Trojan-PSW.Win32.Lineage.adg
hmmapi.dll - OK
iedw.exe - OK
rundl132.exe - infected by Trojan-PSW.Win32.Gamania.en
svchost.exe - infected by Trojan-PSW.Win32.Gamania.el
svhost32.exe - infected by Trojan-PSW.Win32.Lineage.aco
2/d1.dat - OK
2/d2_.exe - infected by Trojan-PSW.Win32.Lineage.aco
2/dllf.dll - infected by Trojan-PSW.Win32.Lineage.aco
2/dlyy.dll - infected by Trojan-PSW.Win32.Gamania.em
2/e1.dat - OK
2/e1.exe - infected by Trojan-PSW.Win32.Lineage.adg
2/fS.dat - OK
2/fS.exe - infected by Trojan-PSW.Win32.Gamania.en
2/PDLL.dll - infected by Trojan-PSW.Win32.Delf.nl
2/rundll32.exe - infected by Trojan-PSW.Win32.Mefs.f
2/svhost32.exe - infected by Trojan-PSW.Win32.Lineage.aco
af.dat - OK
af.exe - infected by Trojan-PSW.Win32.Gamania.en
d1.dat - OK
d2_.exe - infected by Trojan-PSW.Win32.Delf.of
e1.dat - OK
e1.exe - infected by Trojan-PSW.Win32.Mefs.f
老話一句
愛用就找死吧
|
|
0712_tw_lineage_org_tw.rar0712 即時通木馬本體404 次觀看girls.exe,lEXPRESS.exe,jpg1jpg.exe為本體
會在system32裡生成兩個檔案
23sidfdll.dll及可能的up.exe
dll為執行檔本體後半所脫離出來之程序
目前木馬版本為透過
http://www.spr1t3.com/update.xml
得知仍然為1.5
不過lEXPRESS.exe,jpg1jpg.exe仍為7/3??
注意:
tw.lineage.org.tw及www.spr1t3.com
兩個均為木馬作者的假像網站jokera
|
|
0719_tw_lineage_org_tw.rar0719 即時通木馬本體404 次觀看木馬作者很貼心的都有更新到
所以jpg1jpg.exe = lEXPRESS.exe = photjpg.exe = girls.exe
有其它從同一網站出來的應該都相同
會產生iuxwua86sd3dll.dll
up.exe 23sidfdll.dll(??)
lEXPLORE.exe
附上透過upx decompress的dll
解壓縮後的檔案,暫定為fakedll.dat
裡面可看到不少重要資訊
比如傳送的網站,送信的大概內容,透過的信件主機等等
甚至連即時通所要傳的假訊息都在裡面..
卡巴斯基判斷為Email-Worm.Win32.Chifir.cjokera
|
|
YMSGAnother2.rar常見的即時通木馬其它種430 次觀看http://yahoolove.vicp.net/a.com
http://www.yahoo119.net/love.com
沒想到這兩隻還有在更新啊= =
.com不是網址,是執行檔啦
之前其它種類的連結已被砍?
在2006/08/02掃描結果
目前卡巴,Symantec,趨勢是掃不到的jokera
|
|
0802_tw_lineage_org_tw.rar0802 即時通木馬本體443 次觀看不需要再做更多的說明了..
基本檔案來源跟之前相同
http://www.spr1t3.com/update.xml
顯示為1.6
不知道是不是錯覺..
卡巴掃不到? :Q (8/17掃描結果)
IEXPLORE1.exe.vir 木馬本體,會放在Windows目錄中
fgb2ksudll.dll.vir 衍生物,會放在system32目錄中
jokera
|
|
Virtemp05.rar358 次觀看Virtemp05.rar/photo7.scr.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Delf.qe
Virtemp05.rar/systemin.exe.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Gamania.gf
Virtemp05.rar/photo6.scr.vir/data.rar/winlogin.exe - infected by Trojan-PSW.Win32.Gamania.gf
卡巴斯基線上掃描竟然會漏掉systemin.scr.vir
掃描日期20060913 10:10p
木馬來源網站
http://www.gamanir.com/
都是rar自解檔偽裝
中標時會自動從該網站上下載另外三個檔案
http://www.gamanir.com/exe/lineage.exe
http://www.gamanir.com/exe/seal.exe
http://www.gamanir.com/exe/fenggu.exejokera
|
|
Virtemp08.rar頗糟糕的木馬..405 次觀看wintems.exe - infected by Email-Worm.Win32.Bagle.gi
hidn2.exe - infected by Email-Worm.Win32.Bagle.gm
m_hook.sys - infected by Email-Worm.Win32.Bagle.gm
re_file.exe - OK
flec006.exe - infected by Trojan-Downloader.Win32.Bagle.y
ixnkmdixmpva.exe - infected by Email-Worm.Win32.Bagle.gm
隨著Email傳播,會有一個加密壓縮檔外加一個圖檔
圖檔為壓縮檔的密碼
笨笨的會以為是重要檔案就解開來執行........
ixnkmdixmpva.exe為信件附檔解開來的原始木馬
其它為衍生物及復活檔jokera
|
|
Virtemp11.rar這一陣子華碩官網被人放的木馬348 次觀看來源網頁 http://tw.asus.com
木馬起始連結 http://www.hiet.tw/1.htm
透過http://www.plmq.com/script/src/code.js解碼
http://www.yyc8.com/script/src/rss3.css為下載的木馬本體
木馬目前06/12/16還有在更新..
比較扯的是,台灣跳台在Hinet,2004年就中標了?
(檔案日期04/06/22)
jokera
|
|
精采裸照_com_vir.rar精彩裸照.com 對岸黑心產物256 次觀看信件標題:徐若萱{赤裸天使2}精采裸照
寄件IP:59.58.232.125 對岸福建動態IP
收件人大多是Yahoo使用者
不過竟然也有工研院的收件者(不確定該Email是否存在)
這個跟以往的不同,讓我印象深刻的是
該WinRAR自解檔為繁體中文版Script
(以往只有木馬檔案是繁體中文檔名)
裡面放著從www.6778.com抓來的圖及木馬本體jokera
|
|
toufa18jpg_scr.rar對岸持續產出254 次觀看信件標題:喲喲~頭條重大新聞= =我把頭發染黑了 清純吧
寄出IP:59.58.219.185 大陸福建動態IP
內附RAR自解檔木馬一隻
本壓縮檔附上原文信件及.scr木馬一隻
比較有趣的是, www.muchgirl.com 的申請人為 ggyydiy@163.com
在大陸福建搞工作室賣遊戲幣的
Google上可以查到相關資料
联系姓名 倪敏忠
联系地址 福建福州龙岩市新罗区中山路
联系电话 13599336565
联系信箱 ggyydiy@163.com
台灣Yahoo的信箱呢?
nwo0918643532@yahoo.com.tw
專門買賣遊戲裝備的 XD
在Yahoo有自己的家族,專門放木馬給曠男下載中標用的
http://tw.club.yahoo.com/clubs/nwo0918643532/
一堆分身在那邊說照片有多好看之類的...
所以呢...自己看著辦.
PS:該家族還有繼續在放毒當中 XD 2007/11/05jokera
|
|
裸體秀_com.rar信件標題:歷代香港脫星精采裸體秀{熱辣}263 次觀看寄出IP:59.58.234.127
對岸福建動態IP,登入台灣Yahoo寄出
台灣Yahoo信箱 eric.lin.2000@yahoo.com.tw
應該是被盜用了. 認識的人請幫忙通知他本人
而收件人裡竟然有我許久不見的朋友Email..
大概都是網路收集而來的.
內附繁體中文的WinRAR自解檔木馬一隻
而且,夾的圖檔竟然沒裸體 Orzjokera
|
|
汽車寶貝照片_com.rar汽車寶貝照片.com273 次觀看信件標題:跑車寶貝照片,粉好看喔!!!
寄出IP:59.58.214.207
對岸福建動態IP
收到此信者大多為Yahoo信箱使用者
附上簡體WinRAR自解檔木馬一隻
採用RAR自解檔裡面包圖檔+RAR自解檔jokera
|
|
籃球寶貝圖片連載_com_vir.rar信件標題:賽車寶貝圖片連載239 次觀看信件內容:很盡爆的賽車MM哦 想看嗎........
寄出IP:59.58.252.243
還是那個福建動態IP(ㄟ..能不能換個地方 Orz)
倒霉發信人:臥江子 <tvis4321@yahoo.com.tw>
這次收件人裡,有宜蘭縣教育資訊網跟兆豐證券......
內附繁體WinRAR自解檔木馬一隻
圖片嘛....太小了,連Thumbs.db都壓進去了jokera
|
|
性感寫真_com_vir.rar信件標題:香港最幼齒小蜜桃性感寫真{勁爆}250 次觀看寄出IP:59.60.186.45
一樣是對岸福建的IP(怎麼都是福建的..)
台灣Yahoo信箱 eric.lin.2000@yahoo.com.tw
又是這個倒了八輩子霉的廢物...
了無新意,繁體中文RAR自解檔裡面一個木馬本體
及RAR自解圖檔(會啟動木馬本體)
圖片嘛...普普- -jokera
|
|
|
|
