飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 10097|回复: 15

[公告] 特此公告:ID:c2272168925 发布病毒木马 予以永禁ID

  [复制链接]
  • TA的每日心情
    难过
    2024-3-10 19:49
  • 签到天数: 473 天

    [LV.9]以坛为家II

    发表于 2016-2-28 10:17:24 | 显示全部楼层 |阅读模式
    本帖最后由 Dxer 于 2016-2-29 12:53 编辑

    这个竹杠敲的不好,大婶们都太忙碌了。小弟只能慢慢摸索。


    文件名称:        

    QQ2016免费领取7天粉钻.exe
    MD5:        4f3a13da3a9e854bd39cc9db1c7c2986
    文件类型:        EXE
    上传时间:        2016-02-28 10:11:05
    出品公司:        HZH
    版本:        20.13.9.27---20.13.9.27
    壳或编译器信息:        COMPILER:Elan
    报毒名称:        Trojan.Win32.Winlock.b
    关键行为
    行为描述:        检测自身是否被调试
    详情信息:        
    N/A
    行为描述:        跨进程写入数据
    详情信息:        
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\alg.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Tencent\QQ\Bin\QQ.exe
    C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
    C:\WINDOWS\system32\conime.exe
    C:\WINDOWS\system32\PersonalBankPortal.exe
    C:\%temp%\1456626345.908508.exe
    C:\%temp%\1456626345.912034.exe
    C:\%temp%\1456626345.915560.exe
    行为描述:        创建远程线程
    详情信息:        
    C:\WINDOWS\system32\winlogon.exe
    行为描述:        获取TickCount值
    详情信息:        
    TickCount = 485650, SleepMilliseconds = 10.
    TickCount = 486260, SleepMilliseconds = 10.
    TickCount = 486275, SleepMilliseconds = 10.
    TickCount = 486291, SleepMilliseconds = 10.
    TickCount = 486338, SleepMilliseconds = 10.
    TickCount = 486369, SleepMilliseconds = 10.
    TickCount = 486385, SleepMilliseconds = 10.
    TickCount = 486416, SleepMilliseconds = 10.
    TickCount = 486431, SleepMilliseconds = 10.
    TickCount = 486463, SleepMilliseconds = 10.
    TickCount = 486478, SleepMilliseconds = 10.
    TickCount = 486494, SleepMilliseconds = 10.
    TickCount = 486681, SleepMilliseconds = 10.
    TickCount = 486697, SleepMilliseconds = 10.
    TickCount = 486744, SleepMilliseconds = 10.
    行为描述:        修改注册表
    详情信息:        
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
    \REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-*\RefCount
    行为描述:        关闭系统文件保护
    详情信息:        
    N/A
    行为描述:        修改注册表_系统防火墙可信进程列表
    详情信息:        
    \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe
    行为描述:        修改用户密码
    详情信息:        
    NetUserSetInfo: SetPassword = 57425962.
    行为描述:        关机或重启
    详情信息:        
    N/A
    行为描述:        设置特殊文件夹属性
    详情信息:        
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\Administrator\Local Settings\History
    C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
    C:\Documents and Settings\Administrator\Cookies
    行为描述:        通过内存映射跨进程修改内存
    详情信息:        
    TargetProcess = [System Process]
    进程行为
    行为描述:        跨进程写入数据
    详情信息:        
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\alg.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Tencent\QQ\Bin\QQ.exe
    C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
    C:\WINDOWS\system32\conime.exe
    C:\WINDOWS\system32\PersonalBankPortal.exe
    C:\%temp%\1456626345.908508.exe
    C:\%temp%\1456626345.912034.exe
    C:\%temp%\1456626345.915560.exe
    行为描述:        创建本地线程
    详情信息:        
    N/A
    行为描述:        创建远程线程
    详情信息:        
    C:\WINDOWS\system32\winlogon.exe
    行为描述:        通过内存映射跨进程修改内存
    详情信息:        
    TargetProcess = [System Process]
    行为描述:        枚举进程
    详情信息:        
    N/A
    文件行为
    行为描述:        内存映射方式修改可执行文件
    详情信息:        
    \device\harddiskvolume1\windows\system32\update.exe
    行为描述:        创建文件
    详情信息:        
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\wpad[1].dat
    行为描述:        设置特殊文件夹属性
    详情信息:        
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\Administrator\Local Settings\History
    C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
    C:\Documents and Settings\Administrator\Cookies
    行为描述:        删除文件
    详情信息:        
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\wpad[1].dat
    行为描述:        查找文件
    详情信息:        
    FileName = C:\Documents and Settings
    FileName = C:\Documents and Settings\Administrator
    FileName = C:\Documents and Settings\Administrator\Local Settings
    FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
    FileName = C:\WINDOWS\system32\Ras\*.pbk
    FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
    网络行为
    行为描述:        联网打开网址
    详情信息:        
    InternetOpenUrlA: http://110.110.110.110:80/wpad.dat hInternet = 0x00cc0010
    行为描述:        连接指定站点
    详情信息:        
    InternetConnectA: ServerName = tan.13rj.com, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008      
    云南省昆明市
    InternetConnectA: ServerName = 110.110.110.110, PORT = 80, UserName = , Password = , hSession = 0x00cc0010, hConnect = 0x00cc0014
    行为描述:        打开HTTP连接
    详情信息:        
    InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0), hSession = 0x00cc0004
    InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0), hSession = 0x00cc0010
    行为描述:        建立到一个指定的套接字连接
    详情信息:        
    219.133.40.1:80, SOCKET = 0x00000494      
    广东省深圳市 电信(宝安区)
    110.110.110.110:80, SOCKET = 0x00000500
    110.110.110.110:80, SOCKET = 0x000004f4
    110.110.110.110:80, SOCKET = 0x00000504
    黑龙江省哈尔滨市 铁通
    219.133.40.1:80, SOCKET = 0x00000268
    行为描述:        读取网络文件
    详情信息:        
    hFile = 0x00cc0018, BytesToRead =4010, BytesRead = 4010.
    hFile = 0x00cc000c, BytesToRead =43009, BytesRead = 43008.
    行为描述:        发送HTTP包
    详情信息:        
    GET /wpad.dat HTTP/1.1 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0) Host: 110.110.110.110
    GET /yj/tan/1.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
    GET /yj/tan/2.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
    GET /yj/tan/11.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
    GET /yj/tan/22.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
    GET /yj/tan/3.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
    行为描述:        打开HTTP请求
    详情信息:        
    HttpOpenRequestA: tan.13rj.com:80/yj/tan/1.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
    HttpOpenRequestA: 110.110.110.110:80/wpad.dat, hConnect = 0x00cc0014, hRequest = 0x00cc0018, Verb: GET, Referer:
    HttpOpenRequestA: tan.13rj.com:80/yj/tan/2.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
    HttpOpenRequestA: tan.13rj.com:80/yj/tan/11.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
    HttpOpenRequestA: tan.13rj.com:80/yj/tan/22.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
    HttpOpenRequestA: tan.13rj.com:80/yj/tan/3.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
    行为描述:        按名称获取主机地址
    详情信息:        
    ilo.brenz.pl
    computer
    wpad
    110.110.110.110
    tan.13rj.com
    ant.trenz.pl
    注册表行为
    行为描述:        修改注册表
    详情信息:        
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
    \REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-*\RefCount
    行为描述:        删除注册表键值
    详情信息:        
    \REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
    行为描述:        删除注册表键值_IE连接设置
    详情信息:        
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
    \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
    行为描述:        修改注册表_系统防火墙可信进程列表
    详情信息:        
    \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe
    其他行为
    行为描述:        检测自身是否被调试
    详情信息:        
    N/A
    行为描述:        创建互斥体
    详情信息:        
    RasPbFile
    CTF.LBES.MutexDefaultS-*
    CTF.Compart.MutexDefaultS-*
    CTF.Asm.MutexDefaultS-*
    CTF.Layouts.MutexDefaultS-*
    CTF.TMD.MutexDefaultS-*
    CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
    Local\ZonesCounterMutex
    Local\ZoneAttributeCacheCounterMutex
    Local\ZonesCacheCounterMutex
    Local\ZonesLockedCacheCounterMutex
    行为描述:        创建事件对象
    详情信息:        
    EventName = DINPUTWINMM
    EventName = Global\userenv: User Profile setup event
    EventName = Global\crypt32LogoffEvent
    行为描述:        获取系统权限
    详情信息:        
    SE_DEBUG_PRIVILEGE
    SE_TAKE_OWNERSHIP_PRIVILEGE
    SE_RESTORE_PRIVILEGE
    SE_BACKUP_PRIVILEGE
    SE_CHANGE_NOTIFY_PRIVILEGE
    SE_SHUTDOWN_PRIVILEGE
    行为描述:        获取TickCount值
    详情信息:        
    TickCount = 485650, SleepMilliseconds = 10.
    TickCount = 486260, SleepMilliseconds = 10.
    TickCount = 486275, SleepMilliseconds = 10.
    TickCount = 486291, SleepMilliseconds = 10.
    TickCount = 486338, SleepMilliseconds = 10.
    TickCount = 486369, SleepMilliseconds = 10.
    TickCount = 486385, SleepMilliseconds = 10.
    TickCount = 486416, SleepMilliseconds = 10.
    TickCount = 486431, SleepMilliseconds = 10.
    TickCount = 486463, SleepMilliseconds = 10.
    TickCount = 486478, SleepMilliseconds = 10.
    TickCount = 486494, SleepMilliseconds = 10.
    TickCount = 486681, SleepMilliseconds = 10.
    TickCount = 486697, SleepMilliseconds = 10.
    TickCount = 486744, SleepMilliseconds = 10.
    行为描述:        获取光标位置
    详情信息:        
    CursorPos = (106,18467), SleepMilliseconds = 10.
    行为描述:        关闭系统文件保护
    详情信息:        
    N/A
    行为描述:        修改用户密码
    详情信息:        
    NetUserSetInfo: SetPassword = 57425962.
    行为描述:        隐藏指定窗口
    详情信息:        
    [Window,Class] = [,Afx:400000:8:10011:1900015:0]
    行为描述:        关机或重启
    详情信息:        
    N/A

    Tech City: beijing
    Tech State/Province: CN
    Tech Postal Code: 100083
    Tech Country: CN
    Tech Phone: +86.15887068019
    Tech Phone Ext:
    Tech Fax: +86.08716666666
    Tech Fax Ext:
    Tech Email: 282228899@qq.com
    他QQ:1217744987
    他手机是18788552619
    百度id:huangzihuabd
    百度资料显示:
    性别 男
    生日 1903年 2月 8日
    血型 B
    出生地 云南-昆明-西山区
    居住地 云南-昆明-西山区

    详细资料
    体型 苗条
    婚姻状态 单身
    个人习惯 从不抽烟 偶尔喝酒 经常熬夜
    性格 内向
    教育程度 高中
    当前职业 其他
    联系方式 15887068019

    兴趣爱好
    书籍 水浒传
    音乐 张宇的歌 问心无愧
    运动 游泳``
    欣赏的人 老妈&
    其他爱好 打电脑
    教育背景
    大学云南爱因森软件职业学院
    高中昆明市第三中学
    域名:y-yy.net 访问此网站
    注册商:35 TECHNOLOGY CO., LTD
    域名服务器:whois.35.com
    DNS服务器:NS1.ZHUJIWU.COM
    DNS服务器:NS2.ZHUJIWU.COM
    域名状态:ok
    更新时间:2013年07月08日
    创建时间:2013年07月08日
    过期时间:2014年07月08日
    联系人:huangzihua
    Administrator:
    kunmingshiguanduqu
    kunming
    yunnan,
    CN
    650200

    名字:黄伟 男 18 18788552619
    云南 昆明 中国移动 GSM/3G
    他的网站论坛:http://www.haikelianmeng.com      http://www.daohaowang.com/











    敲竹杠,很烦人。证据帖子:https://www.chinapyg.com/thread-82617-1-1.html


    来自群组: 我们都爱月姐姐

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?加入我们

    x

    点评

    已Ban。谢谢Dxer版主的支持!  发表于 2016-2-28 12:03

    评分

    参与人数 6威望 +36 飘云币 +68 收起 理由
    scmy0816 + 4 + 4 很给力!
    人挺好认 + 4 很给力!
    lcy925 + 4 + 4 PYG有你更精彩!
    q121549217 + 4 汗~~~这是八辈祖宗都给挖出来了,给力!!.
    tree_fly + 20 + 20 很给力!
    GGLHY + 40 PYG有你更精彩!

    查看全部评分

    PYG19周年生日快乐!
  • TA的每日心情
    难过
    2024-3-10 19:49
  • 签到天数: 473 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-3-8 09:12:13 | 显示全部楼层
    yaya 发表于 2016-3-3 15:03
    里面分析木马的是什么软件?麻烦能告诉一下吗?

    在线分析后,再拿IDA分析。

    行为分析用的是火绒剑+xuetr

    火绒剑是用来分析行为,xuetr阻止程序关机重启。

    本人也是小白。第一次弄这个
    PYG19周年生日快乐!
    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    开心
    2016-6-16 14:07
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2016-2-28 12:40:26 | 显示全部楼层
    悬崖勒马 不要玩火!
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2017-11-24 23:55
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2016-2-28 18:11:38 | 显示全部楼层
    当年我还是小白的时候尼玛被这玩意儿坑的好惨
    PYG19周年生日快乐!
  • TA的每日心情
    奋斗
    2019-3-11 10:31
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2016-2-28 22:16:21 来自手机 | 显示全部楼层
    走正道吧   
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2024-3-17 17:56
  • 签到天数: 331 天

    [LV.8]以坛为家I

    发表于 2016-2-29 21:50:24 来自手机 | 显示全部楼层
    阿弥陀佛!阿弥陀佛
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    10 小时前
  • 签到天数: 2124 天

    [LV.Master]伴坛终老

    发表于 2016-3-1 22:02:36 | 显示全部楼层
    这种论坛还来放马
    PYG19周年生日快乐!
  • TA的每日心情
    难过
    2020-8-3 23:59
  • 签到天数: 60 天

    [LV.6]常住居民II

    发表于 2016-3-2 15:05:36 来自手机 | 显示全部楼层
    这人真是做死,以后就要严惩这种人!
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2016-3-3 07:47
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2016-3-3 09:09:57 | 显示全部楼层
    严惩害群之马
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2022-11-17 22:45
  • 签到天数: 49 天

    [LV.5]常住居民I

    发表于 2016-3-3 15:03:53 | 显示全部楼层
    里面分析木马的是什么软件?麻烦能告诉一下吗?

    点评

    在线分析后,再拿IDA分析。 行为分析用的是火绒剑+xuetr 火绒剑是用来分析行为,xuetr阻止程序关机重启。 本人也是小白。第一次弄这个  详情 回复 发表于 2016-3-8 09:12

    评分

    参与人数 1威望 +4 收起 理由
    a74909898 + 4 PYG有你更精彩!我刚才也想问软件的 刚好这.

    查看全部评分

    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表