文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析 - caobihole - ITeye博客

`

caobihole

浏览: 950787 次

最近访客更多访客>>

u012363178

jerry_shen

fish119

educationAAAA

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

全部博客 (1423)

社区版块

存档分类

2013-09 ( 92)
2013-08 ( 32)
2013-07 ( 23)
更多存档...

最新评论

文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析

阅读更多

文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析

endurer 原创
2007-09-02 第1版

这回挂的跟上回那个 Worm.Win32.Agent.imh (见:文学论坛挂的马 Worm.Win32.Agent.imh 的简单分析)很相似。

0.exe 采用UPX1加壳

脱壳前：
文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F

脱壳后：
文件说明符 : d:/test/0_org.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:21:18
修改时间 : 2007-8-31 19:21:14
访问时间 : 2007-8-31 0:0:0
大小 : 22064 字节 21.560 KB
MD5 : 4797f454f6b22a7f14b4d90c18c9a5ce
HSA1: 0EE42A949864724B6F04EB2D14D025FE286C792E

Kaspersky 报为 Worm.Win32.QQPass.a，瑞星报为 Trojan.PSW.Win32.Agent.vcd

把自己复制到 /Program Files/Internet Explorer/PLUGINS/，文件名为NewTemp.bkk、NewTemp.dll

并修改注册表，注册到ShellExecuteHooks下，CLSID 为 {0EA66AD2-CF26-2E23-532B-B292E22F3266}。

分享到：

某论坛所用计数器利用 PPStream,Thunder等 ... | 文学论坛挂的马变为 Worm.Win32.QQPass.a / ...

2007-09-02 21:58
浏览 655
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

net.worm.win32.kido专杀工具: 手动移除方法 ...1、删除如下注册表项： [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2、从系统注册表项中删除如下所示"%System%\<rnd>.dll"： [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost...

Net-Worm.Win32.Kido 专杀: Net-Worm.Win32.Kido 专杀

delphi Email-Worm.Win32.Canbis: delphi Email-Worm.Win32.Canbis

病毒Net-Worm.Win32.Kido.ih 清除方法: 病毒Net-Worm.Win32.Kido.ih 清除方法

Win32/Conficker.AA蠕虫搜集资料: Win32/Conficker.AA ，也被称为W32/Worm.AHGV ， Win32.Worm.Downadup ，净Worm.Win32.Kido.bg ，蠕虫： Win32/Conficker ， W32/Conficker.worm.gen ，并末/ Conficker ，是一种恶意蠕虫病毒传播的电脑在当地的网络...

Net-Worm.Win32.Kido.ih 专杀工具: 微软网站上不去说明中毒了，可以用此工具杀一下

Worm.WhBoy: Worm.WhBoy

流行病毒清除工具: 　Worm.Win32.Opasoft.a,b,c,d 　I-Worm.Klez.a,e,f,g,h 　Win32.Elkern.c 程序先扫描内存，然后再扫描指定的路径。　若发现内存或文件被可感染局域网的病毒感染，程序会自动对局域网进行扫描。 [版本] ...

bat.worm.muma.rar_WORM: 著名的bat.worm.muma，保存为txt格式

engine-worm.c: engine-worm.c

zoj 2499 The Happy Worm.md: zoj 2499 The Happy Worm.md

Worm.Nimaya(熊猫烧香) 专杀工具: Worm.Nimaya(熊猫烧香) 专杀工具最新版本：1.10

USBCleaner6.0: RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等

手机中毒后解决方法,希望您好有帮助。: 手机中毒后解决方法，我碰到中毒后，就是使用这个访求解决的。不知对你是否有帮助。

卡巴斯基黑名单验证助手: 卡巴斯基黑名单验证助手；帮助你了解当前KEY是否已经被列入黑名单

冲击波(Worm.Msblast)病毒的最新安全补丁程序: 微软推出的有关冲击波(Worm.Msblast)病毒的安全补丁程序，适用于WindowsXP。

Morris_worm.zip_WORM: morris worm source code

sql_programming_code_developed_worm.rar_The Worm_WORM: sql编程开发的worm蠕虫经典代码sql programming code developed by the classic worm worm

parite专杀工具北信源: win32.lovegate/i,win32.supnot.ay/ax/ah,i-worm.supnot众多变种　win32.parite.a 病毒，运行时，病毒会附加在Explorer.exe文件上以便驻留内存。　病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR...

瑞星（worm.magistr）专杀: 如果您的电脑的exe文件被破坏了，不妨试试本款软件……

Global site tag (gtag.js) - Google Analytics