好友
阅读权限25
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
刚才看无缘无故就是出现视频的声音。
在关掉所有程序后依然存在,意识到中招了。
重启后用360杀了一下找到了这么一个文件。
木马在windows目录下叫做Hacker.com.cn.exe
发现正常情况下文件还打不开。
然后看了一下周围发现了一个文件。
HideFile.vbs HideExtendName.vbs 等。
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
sTitle1 = "SSH=0"
sTitle2 = "SSH=1"
if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 1 then
WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD"
WshSHell.SendKeys "{F5}"
else
WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
WshSHell.SendKeys "{F5}"
end if
Set WSHShell = Nothing
WScript.Quit(0)
|
貌似是段隐藏文件的脚本。
于是乎,看了一下后门文件。
特别有意思的事情是,文件貌似并没有绑定IP地址,因为IP地址是127.0.0.1是本地。
于是乎我想到莫非是其他几种上线方式。
程序会打开 http://www.88ufo.com/ip.txt 目测是灰鸽子的别种上线功能吧。
这个网站打开......竟然是传说中的.......... 波特曼美女寻找系统_官方网站
不知道作者跟这个灰鸽子是不是有什么不解之缘呢.
火眼分析报告!http://fireeye.ijinshan.com/analyse.html?md5=aa313145b600a08604cc904e84e66edd#full
|
|
发表于 2013-1-31 11:13
发表于 2013-1-31 11:19
|
发表于 2013-1-31 11:24
