- 浏览: 949928 次
文章分类
最新评论
RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent.mjp 的一点分析
RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent.mjp 的一点分析
endurer 原创
2008-04-10 第1版
就是某夏露官方网传播的东东。
某夏露官方网传播 RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent
http://endurer.bokee.com/6681893.html
http://blog.csdn.net/Purpleendurer/archive/2008/04/09/2271747.aspx
http://blog.sina.com.cn/s/blog_49926d910100926n.html
文件说明符 : D:/test/svcos.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 20:48:57
修改时间 : 2008-4-9 20:48:57
访问时间 : 2008-4-9 20:49:59
大小 : 20625 字节 20.145 KB
MD5 : 42532b8726845cc29c40c06cb10dce2a
SHA1: 56BA928244657273CD6F26EDB858DD33295D79F9
CRC32: f671a2a2
Kaspersky 报为 Trojan-Downloader.Win32.Agent.mjp,瑞星 报为 RootKit.Win32.RESSDT.o>>fsg2.0>>96
svcos.exe释放/创建文件 RESSDT.exe,RESSDT.sys,sysave.exe,C:/Program Files/sys.bat,C:/WINDDK/2600/111/i386/RESSDT.pdb,恢复SSDT使用系统安全防护软件失效
执行命令:cmd.exe /c net stop wscsvc&net stop sharedaccess&sc config sharedaccess start= disabled&sc config wscsvc start= disabled &net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop "Norton AntiVirus Server"&cacls "C:/Program Files/Tencent/QQ/QQDoctor" /d everyone
使用 映像劫持技术 对QQSC.exe,QQDoctor.exe,kavsvc.exe,mmc.exe,msconfig.exe,regedit.exe,zxsweep.exe,WoptiClean.exe,UpLive.EXE.exe,UmxPol.exe,UmxFwHlp.exe,UmxCfg.exe,UmxAttachment.exe,UmxAgent.exe,UIHost.exe,TrojDie.kxp,Trojanwall.exe,rfwProxy.exe,RegClean.exe,rfwcfg.exe,RsAqent.exe,Rsaupd.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,SREng.exe,symlcsvc.exe,TrojanDetector.exe,SysSafe.exe,RavMonD.exe,RavMon.exe,Ras.exe,PFWLveUpdate.exe,QHSET.exe,NAVSetup.exe,mmsk.exe,mmqczj.exe,mcconsol.exe,MagicSet.exe,loaddll.exe,KWatchX.exe,KWatch9x.exe,KvXP_1.kxp,KvXP.kxp,kvwsc.exe,kvupload.exe,KVStub.kxp,KVMonXP.exe,FWMon.exe,PFW.exe,kvsrvxp.exe,KVWSC.exe,KAVStart.exe,KMaiMon.exe,KPfwSvc.exe,KWatch.exe,nod32kui.exe,ccSetApp.exe,ccEvtMgr.exe,ccSetMgr.exe,DefWatch.exe,rtvscan.exe,mctskshd.exe,mcupdmgr.exe,McAgent.exe,ras.exe,runiep.exe,rfwsrv.exe,RfwMain.exe,RavMON.exe,RavStub.exe,RavTask.exe,Rav.exe,Ravmond.exe,CCenter.exe,avp.exe 等常用软件进行劫持
下载如下文件:
hxxp://***.look**des*t**.***.cn/hb/xxz.exe
文件说明符 : D:/test/xxz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:47
修改时间 : 2008-4-9 21:3:47
访问时间 : 2008-4-9 21:5:17
大小 : 18709 字节 18.277 KB
MD5 : 1ffe0d00ae97de0677a0d460667518bb
SHA1: 4FBF007ED9D74143CA029906F9917C6548AA0864
CRC32: 105acb2c
Kaspersky 报为 Worm.Win32.AutoRun.dbm
hxxp://***.look**des*t**.***.cn/hb/1.exe 保存为 com/man1.exe
文件说明符 : D:/test/1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:53
修改时间 : 2008-4-9 21:3:54
访问时间 : 2008-4-9 21:5:18
大小 : 20016 字节 19.560 KB
MD5 : 64caae21051c28d756976485602c82d4
SHA1: BE3369F5DB9FC675D513BB815B69F2A6C60CDDA7
CRC32: daecea2b
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.wem,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/2.exe 保存为 com/man2.exe
文件说明符 : D:/test/2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:53
修改时间 : 2008-4-9 21:3:53
访问时间 : 2008-4-9 21:5:18
大小 : 17984 字节 17.576 KB
MD5 : e6c0906e9d9de19dbafea90fb6458a18
SHA1: 5774696225657DF4283822F1D291697FB0820303
CRC32: ae289f05
瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/3.exe 保存为 com/man3.exe
文件说明符 : D:/test/3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:53
修改时间 : 2008-4-9 21:3:53
访问时间 : 2008-4-9 21:5:18
大小 : 14064 字节 13.752 KB
MD5 : 4c419721b3c888116be38fccd08be3a7
SHA1: EE9379585453506E02B715D411B97BC82E302BFE
CRC32: c1990ad5
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zjp
hxxp://***.look**des*t**.***.cn/hb/4.exe 保存为 com/man4.exe
文件说明符 : D:/test/4.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:53
修改时间 : 2008-4-9 21:3:53
访问时间 : 2008-4-9 21:5:18
大小 : 19972 字节 19.516 KB
MD5 : c7a43070725c4050ff8c69c7ba181b60
SHA1: 97C66251F818E53C24D88B83BCA1807494A9F690
CRC32: 27da4f2b
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/5.exe 保存为 com/man5.exe
文件说明符 : D:/test/5.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:53
修改时间 : 2008-4-9 21:3:53
访问时间 : 2008-4-9 21:5:18
大小 : 18160 字节 17.752 KB
MD5 : c79446699ca064024a5f7dd706d70e1b
SHA1: 46FA42E1DB41BEC2715BD3A15AC6964277D9FEE5
CRC32: d3c56eff
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yzt,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/6.exe 保存为 com/man6.exe
文件说明符 : D:/test/6.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:52
修改时间 : 2008-4-9 21:3:53
访问时间 : 2008-4-9 21:5:18
大小 : 12549 字节 12.261 KB
MD5 : fdf8c09cb412f496f4aee6bd881e02a5
SHA1: 0E8442E2D14D0C12EAA59194B07D45B2F7AB64E3
CRC32: a3e40e61
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zfe
hxxp://***.look**des*t**.***.cn/hb/7.exe 保存为 com/man7.exe
文件说明符 : D:/test/7.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:52
修改时间 : 2008-4-9 21:3:52
访问时间 : 2008-4-9 21:5:18
大小 : 29613 字节 28.941 KB
MD5 : 90a66cb2fce36d5f42f3c661ef651144
SHA1: 4774DBD051757097DAC464B06FED977B3F7D4405
CRC32: c8c55483
AVP__Trojan-PSW.Win32.Lmir.bpv,瑞星 报为 Trojan.PSW.Win32.GamesOnline.fz>>upack0.39
hxxp://***.look**des*t**.***.cn/hb/8.exe 保存为 com/man8.exe
文件说明符 : D:/test/8.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:52
修改时间 : 2008-4-9 21:3:52
访问时间 : 2008-4-9 21:5:18
大小 : 14116 字节 13.804 KB
MD5 : 17ac4a402988c118a8e89b3cf92c57c6
SHA1: 14A971A4F1C45F5C1768B6B505FD61A1D55F7FE9
CRC32: a6bf5608
AVP__Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/9.exe 保存为 com/man9.exe
/---
文件不存在
---/
hxxp://***.look**des*t**.***.cn/hb/10.exe 保存为 com/man10.exe
文件说明符 : D:/test/10.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:51
修改时间 : 2008-4-9 21:3:51
访问时间 : 2008-4-9 21:5:17
大小 : 16164 字节 15.804 KB
MD5 : baba0dcdaf86c033516cf1f0730b182f
SHA1: DA2C54ADFE45084B10ABD234D239115767BC2923
CRC32: 1d93548a
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zel,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/11.exe 保存为 com/man11.exe
/---
文件不存在
---/
hxxp://***.look**des*t**.***.cn/hb/12.exe 保存为 com/man12.exe
文件说明符 : D:/test/12.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:51
修改时间 : 2008-4-9 21:3:51
访问时间 : 2008-4-9 21:5:17
大小 : 12166 字节 11.902 KB
MD5 : 1ecd3591093c79175b21f70454589c11
SHA1: 905528E3EC0BA2E172A3258A00E4591BEA4BADB2
CRC32: a32eb333
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yip,瑞星 报为 Trojan.PSW.Win32.SunOnline.nh
hxxp://***.look**des*t**.***.cn/hb/13.exe 保存为 com/man13.exe
文件说明符 : D:/test/13.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:51
修改时间 : 2008-4-9 21:3:51
访问时间 : 2008-4-9 21:5:17
大小 : 12378 字节 12.90 KB
MD5 : 87f692f3b461d0ce1af45d63476a90c1
SHA1: EABE82E83DE5FD6505C0917E1E3599345A9FD586
CRC32: a0f00d4e
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zfe
hxxp://***.look**des*t**.***.cn/hb/14.exe 保存为 com/man14.exe
文件说明符 : D:/test/14.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:50
修改时间 : 2008-4-9 21:3:51
访问时间 : 2008-4-9 21:5:18
大小 : 12649 字节 12.361 KB
MD5 : 6d014d3266ec3a6f38426a081b62096c
SHA1: B9320FDE7AAD06B6E48D2E97F03A73B1B237C1C1
CRC32: 966bbf18
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zfe
hxxp://***.look**des*t**.***.cn/hb/15.exe 保存为 com/man15.exe
文件说明符 : D:/test/15.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:50
修改时间 : 2008-4-9 21:3:50
访问时间 : 2008-4-9 21:5:18
大小 : 17984 字节 17.576 KB
MD5 : aa9e5588bd4bd5deebd247ce5012461b
SHA1: AED93B4F2B307D056B725369ECF3D6C71BAA9D8A
CRC32: 1adcdd9b
瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/16.exe 保存为 com/man16.exe
文件说明符 : D:/test/16.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:50
修改时间 : 2008-4-9 21:3:50
访问时间 : 2008-4-9 21:5:18
大小 : 19996 字节 19.540 KB
MD5 : 4423478bb0b21e602318e00829ca7193
SHA1: 6DE0115D3C2F480E6BCA5ACC803C4CEE353C92E6
CRC32: 58d68f12
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zea,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/17.exe 保存为 com/man17.exe
文件说明符 : D:/test/17.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:50
修改时间 : 2008-4-9 21:3:50
访问时间 : 2008-4-9 21:5:18
大小 : 16872 字节 16.488 KB
MD5 : 468e7c367cf9791b4c3ee49a378060e7
SHA1: 2FBF17E568D3CD4BBC45E2FBEF5AAECB1B08440A
CRC32: e56f14a3
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.xml,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/18.exe 保存为 com/man18.exe
文件说明符 : D:/test/18.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:50
修改时间 : 2008-4-9 21:3:50
访问时间 : 2008-4-9 21:5:18
大小 : 17395 字节 16.1011 KB
MD5 : 39ff978de3b20a2eeef2e28423d9e827
SHA1: BD2496E54563858D1E4DA08D33F8B70BF47F3010
CRC32: 3327ef21
hxxp://***.look**des*t**.***.cn/hb/19.exe 保存为 com/man19.exe
文件说明符 : D:/test/19.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:50
访问时间 : 2008-4-9 21:5:18
大小 : 17276 字节 16.892 KB
MD5 : 888cad78608d92971b93ec2551f2fd2a
SHA1: 6A4025CE14993D0512A3E3D6E4E4F04CE249D6C4
CRC32: 2cfa9442
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yxl,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/20.exe 保存为 com/man20.exe
文件说明符 : D:/test/20.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 11710 字节 11.446 KB
MD5 : ef33b6aa76673ab8b9eefd2df849b60d
SHA1: 5905C2238BD133AE936418A44C25A4AC6F5D9E5D
CRC32: 86ba07fd
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yip,瑞星 报为 Trojan.PSW.Win32.SunOnline.nh>>upack0.39
hxxp://***.look**des*t**.***.cn/hb/21.exe 保存为 com/man21.exe
文件说明符 : D:/test/21.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 14468 字节 14.132 KB
MD5 : 7e02b5bd61365bc7646ccdcc96c70e23
SHA1: CD1B8CAE6898C11067467393483DC9E40ED8B7B6
CRC32: 0dd9e32f
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yzt,瑞星 报为 Packer.Win32.Upack.a
hxxp://***.look**des*t**.***.cn/hb/22.exe 保存为 com/man22.exe
文件说明符 : D:/test/22.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 12340 字节 12.52 KB
MD5 : b3921445c539dc03cc856a8fb0abaddb
SHA1: C0F26E200A4CAED0394DDC20A0B9045B354072AF
CRC32: 54efbd17
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zdk
hxxp://***.look**des*t**.***.cn/hb/23.exe 保存为 com/man23.exe
文件说明符 : D:/test/23.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 13422 字节 13.110 KB
MD5 : 2ff28cadafd1943b52f4d34e08f00ac9
SHA1: AC9DE9658F454A359BDE0A573E4696FFF8A86798
CRC32: fbfad1af
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yrt,瑞星 报为 Trojan.PSW.Win32.SunOnline.nh>>upack0.39
hxxp://***.look**des*t**.***.cn/hb/24.exe 保存为 com/man24.exe
文件说明符 : D:/test/24.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:49
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 4537 字节 4.441 KB
MD5 : 6ba5a1fa266096207dc7e560e9764e41
SHA1: 17138421250A9BF89A9CC6078B8ED0DBFA4F9238
CRC32: 7d478692
Kaspersky 报为 Trojan-PSW.Win32.Nilage.cfp
hxxp://***.look**des*t**.***.cn/hb/25.exe 保存为 com/man25.exe
文件说明符 : D:/test/25.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:48
修改时间 : 2008-4-9 21:3:49
访问时间 : 2008-4-9 21:5:17
大小 : 31348 字节 30.628 KB
MD5 : f3ba591f8d6222f83c066633515a8079
SHA1: A2C9F2CB9EB0291AB54263DE5146E0F52B64D7E6
CRC32: 1ba8e7c2
Kaspersky 报为 Trojan-Downloader.Win32.Small.suu,瑞星 报为 Trojan.DL.Win32.Mnless.zbh>>upack0.39>>pecompact2x
hxxp://***.look**des*t**.***.cn/hb/26.exe 保存为 com/AtiSrvn.exe
文件说明符 : D:/test/26.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:48
修改时间 : 2008-4-9 21:3:48
访问时间 : 2008-4-9 21:5:17
大小 : 39765 字节 38.853 KB
MD5 : 31345d961619da423cae8b7c347f2c68
SHA1: 440FA5ED4BE8CEAB746705A602C34570E7CC9F73
CRC32: f2b343a0
Kaspersky 报为 Trojan-Downloader.Win32.VB.dox,瑞星 报为 Backdoor.Win32.Scan.a>>fsg2.0>>65>>65
hxxp://***.look**des*t**.***.cn/hb/27.exe 保存为 com/man27.exe
文件说明符 : D:/test/27.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-9 21:3:48
修改时间 : 2008-4-9 21:3:48
访问时间 : 2008-4-9 21:5:17
大小 : 12585 字节 12.297 KB
MD5 : fbc9031e06adf9def86a8378072fd93e
SHA1: 9619E8A55FB9F7C71127D4D5CD81D8C5DAEFF3A7
CRC32: f7c20aad
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zfe
相关推荐
fu-rootkit.rar
https://citypw.blogspot.gr/2014/08/an-awesome-linux-kernel-rootkit-suterusu.html https://github.com/Cr4sh/WindowsRegistryRootkit ...
inficere, 用于学习目的的Mac OS X rootkit inficere构建在 public的onyx-the-black-cat之上的我的Mac OS X rootkit版本( https://github.com/gdbinit/onyx-the-black-cat )仅在 Mount
Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核5.7之后支持,没有kallsyms_lookup_name。 BrokePkg Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核...
一种基于内核定时器和工作队列的Linux rootkit.pdf
rootkit.com.cn的内部壳.rar
一些关于Rootkit的一些资料,非常不错。
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版 核心功能: 1. 进程、线程、进程Dll模块的枚举与检测,强杀进程、线程、卸载模块等功能 2. 内核驱动枚举与检测,定位、删除驱动文件等 3. SSDT的检测和恢复 4. ...
evil code for linux kernel hack
kssd rootkit windows 驱动级代码,实现rootkit 真的很棒!
源自瑞典的杀毒软件AntiVirus, AntiMalware (AVG Resident Shield), AVG Anti-Rootkit, AVG Email Scanner (AVG邮件扫描组件), AVG Protective Cloud Technology (AVG云保护技术), AVG Community Protection ...
隐藏进程和驱动
brootkit, bash shell 脚本v0.10实现轻量级 rootkit 使用 bash shell 脚本v0.10实现的######BROOTKIT 轻量级 rootkitby wzt 2015 wzt.wzt@gmail.comIf bash shell scripts can be des
目的:解决大家在日常清除恶意程序时遇到的典型困难之一:恶意程序运行rootkit技术使用户无法打开一些比较主要的修复工具(非映像劫持技术, 且此技术对Wsycheck无效),也无法从普通的工具上看到系统运行的异常。...
A simple tool that can be used to load driver (.sys) into the kernel.
劫持linux系统调用,例如调用open系统调用时,会调用新的被劫持的系统调用,而不是原来的系统调用。 请参阅:http://se7so.blogspot.com/2012/07/hijacking-linux-system-calls-rootkit.html
德国人写的win64位RootKit源代码。
regsvr32 msdia90.dll (You should get a messagebox indicating that the dll was registered successfully) Download windbglib.py from https://github.com/corelan/windbglib/raw/master/windbglib.py Save the...
CallMeWin32kDriver\n加载您的驱动程序,如 win32k.sys\n动机\n该功能是从某PUBG作弊驱动中分析出来的。\n它可以做什么?\n通过 Anti-Rootkit 工具防止直接转储\n绕过 MmCopyMemory\n隐藏世界不触发PG\n如何检测?\n...
[root@server rkhunter-1.4.0]# ./installer.sh --layout default --install 这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。 2、使用rkhunter指令 rkhunter命令的参数较多,...