http://bbs.janmeng.com/viewthr…..a=page%3D2C:\Program Files\Common Files\System\obdaxmi.exe 第一个生成物文件
复制 C:\Program Files\Common Files\System\obdaxmi.exe 到 C:\Program Files\meex.exe
搜索 C:\Program Files\Common Files\Microsoft Shared\txofyde.exe
搜索 C:\Program Files\meex.exe
搜索 d:\autorun.inf
搜索 C:\Program Files\Common Files\System\pyqmcfy.inf
移动 C:\WINDOWS\system32\wniapsvr.exe 到 C:\WINDOWS\system32\olfyodi
移动 C:\WINDOWS\system32\niu.exe 到 C:\WINDOWS\system32\olfyodi.9
移动 C:\WINDOWS\system32\Shell.exe 到 C:\WINDOWS\system32\olfyodi.3
移动 C:\WINDOWS\system32\Shell.pci 到 C:\WINDOWS\system32\olfyodi.4
移动 C:\WINDOWS\system32\crsss.exe 到 C:\WINDOWS\system32\olfyodi.6
移动 C:\WINDOWS\system32\directx.exe 到 C:\WINDOWS\system32\olfyodi.5
移动 C:\WINDOWS\system32\progmon.exe 到 C:\WINDOWS\system32\olfyodi.1
移动 C:\WINDOWS\system32\internt.exe 到 C:\WINDOWS\system32\olfyodi.2
移动 C:\WINDOWS\system32\SoftDLL.dll 到 C:\WINDOWS\system32\olfyodi.7
移动 C:\WINDOWS\system32\MySetup.exe 到 C:\WINDOWS\system32\olfyodi.8
移动 C:\WINDOWS\system32\fixfile.exe 到 C:\WINDOWS\system32\olfyodi.11
移动 C:\WINDOWS\system32\WMDSINFO.dll […]
hxxp://www.alphadoll.com/admin/database/index.htmhxxp://www.alphadoll.com/admin/database/baobao.htmString.fromCharCode 加密,很容易解開
ani
hxxp://www.alphadoll.com/admin/database/0day.jpg
hxxp://www.alphadoll.com/admin/database/Down.exe
hxxp://www.alphadoll.com/admin/database/zhu3.htm
hxxp://www.alphadoll.com/admin/database/Down.exe
hxxp://www.alphadoll.com/admin/database/banner.htm
已上報
阅读(94 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/19/517516/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;
An overview of all your submissions can be found here:
http://analysis.avira.com/samp…..dkI3Ezk6Xj
just Gmail
阅读(112 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/17/an-overview-of-all-my-submissions-to-avira/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;
在大炮開講上面看到的
亞太固網寬頻網站.台北旅遊網網站,中友百貨網站.淡水漁人碼頭網站似乎掛的都是這個,就一次寫出算了應該是更新過,昨天據說還是us-ascii加密.現在已經沒有了
hxxp://www.misofthelp.com/update.html
==>hxxp://www.misofthelp.com/1.htm
====>hxxp://www.misofthelp.com/update.exe
==>hxxp://www.misofthelp.com/4.htm
====>hxxp://www.misofthelp.com/ani.css
======>hxxp://www.misofthelp.com/update.exe
==>hxxp://www.misofthelp.com/stat/mystat.asp 不知道是做什么用的
那個update似乎是加了花
vb8? 我認為不是
virscan上面除了kingsoft之外清一色的報毒
掃描報告
http://virscan.org/report.php?…..aa87d6c55b
阅读(100 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/16/hxxpwwwmisofthelpcomupdatehtml/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;
尾部
hxxp://www.wuzhixin.com/laog.htmhxxp://www.wuzhixin.com/laog.htm
奸骝犴鍫篁憬梏麴函鼢栾篝麸甬泐繇狑殇翳奖鞍犺彘玷艚盃骝犴邂矧溴蚪熬
又是us-ascii加密
祭出昨天修改過的decoder
hxxp://www.ghosttop.cn/g.htm
hxxp://www.ghosttop.cn/717001.htmhxxp
CURSOR: url(ah.c)
又是ani
下載hxxp://www.ghosttop.cn/2003.exe
hxxp://www.ghosttop.cn/614001.htm
同樣下載hxxp://www.ghosttop.cn/2003.exe
hxxp://www.ghosttop.cn/2003.exe
調試了一下,不是downloader.所以不玩了
回報
2007.7.16 10:10 補充
*****************************************
Hello.
New malicious software was found in the attached file.
It’s detection will be included in the next update. Thank you for your help.
—————–
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.
****************************************
Dear kid85783388(at)gmail.com,Your request has been analyzed. New virus record has been added.
Virus: Trojan.PWS.Lineage.
Thank you for the cooperation.
–
Yours sincerely,
Virus Monitoring Service Doctor Web Ltd.
****************************************
阅读(126 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/16/517519/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;
hxxp://www.jimmy87.com/bt/test1.htm
==>hxxp://game.jimmy87.com
====>hxxp://xxx.18dmm.com/newdm/new09.htm?030
======>hxxp://xxtvb.cn/arp/go.exe <<====attention
========>hxxp://18dd.net/new/system22.exe
========>hxxp://xxtvb.cn/arp/1.exe
========>hxxp://xxtvb.cn/arp/10.exe
========>hxxp://xxtvb.cn/arp/11.exe
========>hxxp://xxtvb.cn/arp/12.exe
========>hxxp://xxtvb.cn/arp/13.exe
========>hxxp://xxtvb.cn/arp/14.exe
========>hxxp://xxtvb.cn/arp/2.exe
========>hxxp://xxtvb.cn/arp/3.exe
========>hxxp://xxtvb.cn/arp/4.exe
========>hxxp://xxtvb.cn/arp/5.exe
========>hxxp://xxtvb.cn/arp/6.exe
========>hxxp://xxtvb.cn/arp/7.exe
========>hxxp://xxtvb.cn/arp/8.exe
========>hxxp://xxtvb.cn/arp/9.exe
==>hxxp://bt.hslzy.cn
====>hxxp://xxx.1818hjy.com/oldlj/yy71004.htm
======>hxxp://www.365ddyy.cn/dd/yy/come.exe <<====attention ========>hxxp://www.365ddyy.cn/yydd/1.exe
========>hxxp://www.365ddyy.cn/yydd/10.exe
========>hxxp://www.365ddyy.cn/yydd/2.exe
========>hxxp://www.365ddyy.cn/yydd/3.exe
========>hxxp://www.365ddyy.cn/yydd/4.exe
========>hxxp://www.365ddyy.cn/yydd/5.exe
========>hxxp://www.365ddyy.cn/yydd/6.exe
========>hxxp://www.365ddyy.cn/yydd/7.exe
========>hxxp://www.365ddyy.cn/yydd/8.exe
========>hxxp://www.365ddyy.cn/yydd/9.exe
==>hxxp://wz.jimmy87.com
====>hxxp://www.xp1us.com.cn/2222/290.htm
======>hxxp://59.34.197.164/ifuckhackerdewife.js
========>hxxp://59.34.197.239/downloader.exe 不是有效的 PE 文件
====>hxxp://www.88ou.cn/1.htm?ID=1-2418?2909
======>hxxp://www.88ou.cn/all/index.htm
========>hxxp://www.m85853.cn/yeye/index.htm
==========>hxxp://www.n85853.cn
============>hhxxp://ppp.caomapi.com/pi/786929.htm
==============>hhxxp://ppp.caomapi.com/pi/mapi.js
================>hxxp://ppp.caomapi.com/pi/1.exe <<====attention 導入函數似乎沒有和網絡相關的,bypass ==========>hxxp://www.m85853.com.cn 無意義
==========>hxxp://www.m85853.cn/cc/index.htm
============>hxxp://www.wg161.cn/xy4.htm <<====attention 失效 ==========>hxxp://www.m85853.cn/come/index.htm
============>hxxp://www.88ou.cn/ice/web.htm
==============>hxxp://zy666.3322.org/1?34
================>hxxp://zy666.3322.org/xz.exe <<====ASProtect Pack ==========>hxxp://www.m85853.cn/muma/index.htm 我在我的blog上面寫過分析,見hxxp://eataix.bloggerspaces.com/2007/07/blog-post_14.html
==========>hxxp://www.m85853.cn/gogo/index.htm 空白檔案
==========>hxxp://www.88ou.cn/index.htm
===========>hxxp://www.aqshw.cn/929.htm
=============>hxxp://www.520018.com/ 和hxxp://eataix.bloggerspaces.com/2007/07/blog-post_14.html 一樣
===============>hxxp://www.520018.com/qq/40.htm
=================>hxxp://www.520018.com/qq/40.exe <<====未知殼 ===============>hxxp://www.520018.com/qq/70.htm
=================>hxxp://www.520018.com/qq/70.exe <<====同樣未知殼 ===============>hxxp://www.520018.com/qq/71.htm <<====似乎和www.CuteQq.cn 有關 =================>hxxp://www.520018.com/qq/70.exe 和上面的一樣
=============>hxxp://www.debae.cn
===============>hxxp://ppp.caomapi.com/pi/9038.htm 上面出現過
=================>hxxp://ppp.caomapi.com/pi/1.exe <<===attention =============>hxxp://www.aqshw.cn 最后也是hxxp://xxtvb.cn/arp/go.exe,上面出現過,不再重復
=============>hxxp://125a.cn/index.htm 只是刷流量的
==========>hxxp://mmm.black3389.com
============>hxxp://mmm.black3389.com/vip.htm
==============>hxxp://mmm.black3389.com/vip.js
================>hxxp://mmm.black3389.com/vips.htm
==================>hxxp://mmm.black3389.com/vip.exe <hxxp://mmm.black3389.com/vip1.htm <<似乎解不開,mark ============>hxxp://mmm.black3389.com/vip2.htm
==============>hxxp://mmm.black3389.com/vip.exe <<===== 和上面的一樣? ============>hxxp://mmm.black3389.com/vip3.htm
==============>hxxp://mmm.black3389.com/ah.c
===============>hxxp://www.810810.org/xin/vip.exe <<====新花樣?不過內容似乎一樣 ========>hxxp://878772.cn/bumian23.htm?007 <<====又是hxxp://eataix.bloggerspaces.com/2007/07/blog-post_14.html ==>hxxp://dm.hslzy.cn
====>hxxp://ppp.caomapi.com/pi/168.htm?id=0456 <<==又是這個? ==>hxxp://qq.hslzy.cn
====>hxxp://union.uiiiu.com/soft/sms.exe <<差一點漏了.不是downloader ==>hxxp://www.haozl.cn <<====和上一個掛的一樣 ==>hxxp://www.ylwmtv.cn
====>hxxp://www.ndnd.info/cai/ms.htm?54366?001
======>hxxp://www.ndnd.info/cai/q014.htm
========>hxxp://www.ndnd.info/cai/qq.exe <<===downloader? ==========>hxxp://xz.88889999.info/1.exe
==========>hxxp://xz.88889999.info/10.exe
==========>hxxp://xz.88889999.info/11.exe
==========>hxxp://xz.88889999.info/12.exe
==========>hxxp://xz.88889999.info/13.exe
==========>hxxp://xz.88889999.info/14.exe
==========>hxxp://xz.88889999.info/15.exe
==========>hxxp://xz.88889999.info/2.exe
==========>hxxp://xz.88889999.info/3.exe
==========>hxxp://xz.88889999.info/4.exe
==========>hxxp://xz.88889999.info/5.exe
==========>hxxp://xz.88889999.info/6.exe
==========>hxxp://xz.88889999.info/7.exe
==========>hxxp://xz.88889999.info/8.exe
==========>hxxp://xz.88889999.info/9.exe
======>hxxp://www.ndnd.info/cai/2.htm
========>hxxp://www.88889999.info/cai/qq.exe <<====差一點就直接運行了 ==========>hxxp://xz.88889999.info/1.exe
==========>hxxp://xz.88889999.info/10.exe
==========>hxxp://xz.88889999.info/11.exe
==========>hxxp://xz.88889999.info/12.exe
==========>hxxp://xz.88889999.info/13.exe
==========>hxxp://xz.88889999.info/14.exe
==========>hxxp://xz.88889999.info/15.exe
==========>hxxp://xz.88889999.info/2.exe
==========>hxxp://xz.88889999.info/3.exe
==========>hxxp://xz.88889999.info/4.exe
==========>hxxp://xz.88889999.info/5.exe
==========>hxxp://xz.88889999.info/6.exe
==========>hxxp://xz.88889999.info/7.exe
==========>hxxp://xz.88889999.info/8.exe
==========>hxxp://xz.88889999.info/9.exe
======>hxxp://www.ndnd.info/cai/ani.htm
========>hxxp://www.ndnd.info/cai/ah.c
==========>hxxp://www.88889999.info/cai/qq.exe
==>hhxxp://www.jimmy87.com 和上面的那一個一樣
居然花了接近一個小時……
上報ing…..
重新開始的第一彈
阅读(158 […]
hxxp://book.law119.com.tw/
尾部插入了
hxxp://www.idiw.cn
==>hxxp://878772.cn/bumian24.htm
==>hxxp://ppp.caomapi.com/pi/9858.htm
bumian24.htm整理出來:
hxxp://878772.cn/wm/xjz2007.bmp
==>http://www.878772.cn/down.exe
hxxp://878772.cn/vip.htm
==>hxxp://878772.cn/vip.js web迅雷0-day attack,不過沒有找到什么有用的東西,沒有認真看
hxxp://878772.cn/wm/wm2.htm
==>http://www.878772.cn/down.exe 十六進制加密…最無聊也是最麻煩的,不過還是解開了
hxxp://878772.cn/wm/wm3.htm 無效….
hxxp://www.878772.cn/down.exe
File: C:\Documents and Settings\Administrator\Desktop\down.exe
Size: 16938 bytes
Modified: 2007年7月14日, 21:04:21
MD5: 17CCD6E46E57D0F01AE66AD7C6F88344
SHA1: 7477730F37B23CAA469FFF9BD58C6C2A67835AD7
CRC32: 005A8E52
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
脫殼后Borland Delphi 6.0 - 7.0 [Overlay]
不想調試了,有興趣的高手上吧
9858.htm
==>hxxp://ppp.caomapi.com/pi/mapi.js
下載下來,前后加script 標記
用IE打開,取源碼,可以找到
\x68\x74\x74\x70\x3a\x2f\x2f\x70\x70\x70\x2e\x63\x61\x6f\x6d\x61\x70\x69\x2e\x63\x6f\x6d\x2f\x70\x69\x2f\x31\x2e\x65\x78\x65
解出來
hxxp://ppp.caomapi.com/pi/1.exe 直接沒加殼,不玩了
阅读(108 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/14/517523/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;
恍然如隔世
http://bbs.crsky.com/read.php?tid=948318用OD载入后发现了作者的QQ号,聊了一下,获得了新的版本
现分析如下
用peid没有找到壳
直接用OD载入
具体的操作不写了,直接贴出关键的代码
004063F7 . BA 78504000 mov edx, 00405078 ; UNICODE “http://www.tt2ok.com”
004063FC . 8D4D E0 lea ecx, dword ptr [ebp-20]
004063FF . 897D E8 mov dword ptr [ebp-18], edi
00406402 . 897D E4 mov dword ptr [ebp-1C], edi
00406405 . 897D E0 mov dword ptr [ebp-20], edi
00406408 . 897D D0 mov dword ptr [ebp-30], edi
0040640B . FFD6 call esi ; […]