特此公告:ID:c2272168925 发布病毒木马 予以永禁ID
本帖最后由 Dxer 于 2016-2-29 12:53 编辑这个竹杠敲的不好,大婶们都太忙碌了。小弟只能慢慢摸索。
文件名称:
QQ2016免费领取7天粉钻.exe
MD5: 4f3a13da3a9e854bd39cc9db1c7c2986
文件类型: EXE
上传时间: 2016-02-28 10:11:05
出品公司: HZH
版本: 20.13.9.27---20.13.9.27
壳或编译器信息: COMPILER:Elan
报毒名称: Trojan.Win32.Winlock.b
关键行为
行为描述: 检测自身是否被调试
详情信息:
N/A
行为描述: 跨进程写入数据
详情信息:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\%temp%\1456626345.908508.exe
C:\%temp%\1456626345.912034.exe
C:\%temp%\1456626345.915560.exe
行为描述: 创建远程线程
详情信息:
C:\WINDOWS\system32\winlogon.exe
行为描述: 获取TickCount值
详情信息:
TickCount = 485650, SleepMilliseconds = 10.
TickCount = 486260, SleepMilliseconds = 10.
TickCount = 486275, SleepMilliseconds = 10.
TickCount = 486291, SleepMilliseconds = 10.
TickCount = 486338, SleepMilliseconds = 10.
TickCount = 486369, SleepMilliseconds = 10.
TickCount = 486385, SleepMilliseconds = 10.
TickCount = 486416, SleepMilliseconds = 10.
TickCount = 486431, SleepMilliseconds = 10.
TickCount = 486463, SleepMilliseconds = 10.
TickCount = 486478, SleepMilliseconds = 10.
TickCount = 486494, SleepMilliseconds = 10.
TickCount = 486681, SleepMilliseconds = 10.
TickCount = 486697, SleepMilliseconds = 10.
TickCount = 486744, SleepMilliseconds = 10.
行为描述: 修改注册表
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-*\RefCount
行为描述: 关闭系统文件保护
详情信息:
N/A
行为描述: 修改注册表_系统防火墙可信进程列表
详情信息:
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe
行为描述: 修改用户密码
详情信息:
NetUserSetInfo: SetPassword = 57425962.
行为描述: 关机或重启
详情信息:
N/A
行为描述: 设置特殊文件夹属性
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
行为描述: 通过内存映射跨进程修改内存
详情信息:
TargetProcess =
进程行为
行为描述: 跨进程写入数据
详情信息:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\%temp%\1456626345.908508.exe
C:\%temp%\1456626345.912034.exe
C:\%temp%\1456626345.915560.exe
行为描述: 创建本地线程
详情信息:
N/A
行为描述: 创建远程线程
详情信息:
C:\WINDOWS\system32\winlogon.exe
行为描述: 通过内存映射跨进程修改内存
详情信息:
TargetProcess =
行为描述: 枚举进程
详情信息:
N/A
文件行为
行为描述: 内存映射方式修改可执行文件
详情信息:
\device\harddiskvolume1\windows\system32\update.exe
行为描述: 创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\wpad.dat
行为描述: 设置特殊文件夹属性
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
行为描述: 删除文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\wpad.dat
行为描述: 查找文件
详情信息:
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\WINDOWS\system32\Ras\*.pbk
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
网络行为
行为描述: 联网打开网址
详情信息:
InternetOpenUrlA: http://110.110.110.110:80/wpad.dat hInternet = 0x00cc0010
行为描述: 连接指定站点
详情信息:
InternetConnectA: ServerName = tan.13rj.com, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008 云南省昆明市
InternetConnectA: ServerName = 110.110.110.110, PORT = 80, UserName = , Password = , hSession = 0x00cc0010, hConnect = 0x00cc0014
行为描述: 打开HTTP连接
详情信息:
InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0), hSession = 0x00cc0004
InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0), hSession = 0x00cc0010
行为描述: 建立到一个指定的套接字连接
详情信息:
219.133.40.1:80, SOCKET = 0x00000494 广东省深圳市 电信(宝安区)
110.110.110.110:80, SOCKET = 0x00000500
110.110.110.110:80, SOCKET = 0x000004f4
110.110.110.110:80, SOCKET = 0x00000504 黑龙江省哈尔滨市 铁通
219.133.40.1:80, SOCKET = 0x00000268
行为描述: 读取网络文件
详情信息:
hFile = 0x00cc0018, BytesToRead =4010, BytesRead = 4010.
hFile = 0x00cc000c, BytesToRead =43009, BytesRead = 43008.
行为描述: 发送HTTP包
详情信息:
GET /wpad.dat HTTP/1.1 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0) Host: 110.110.110.110
GET /yj/tan/1.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
GET /yj/tan/2.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
GET /yj/tan/11.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
GET /yj/tan/22.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
GET /yj/tan/3.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: tan.13rj.com Cache-Control: no-cache
行为描述: 打开HTTP请求
详情信息:
HttpOpenRequestA: tan.13rj.com:80/yj/tan/1.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
HttpOpenRequestA: 110.110.110.110:80/wpad.dat, hConnect = 0x00cc0014, hRequest = 0x00cc0018, Verb: GET, Referer:
HttpOpenRequestA: tan.13rj.com:80/yj/tan/2.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
HttpOpenRequestA: tan.13rj.com:80/yj/tan/11.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
HttpOpenRequestA: tan.13rj.com:80/yj/tan/22.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
HttpOpenRequestA: tan.13rj.com:80/yj/tan/3.htm, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer:
行为描述: 按名称获取主机地址
详情信息:
ilo.brenz.pl
computer
wpad
110.110.110.110
tan.13rj.com
ant.trenz.pl
注册表行为
行为描述: 修改注册表
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-*\RefCount
行为描述: 删除注册表键值
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
行为描述: 删除注册表键值_IE连接设置
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
行为描述: 修改注册表_系统防火墙可信进程列表
详情信息:
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe
其他行为
行为描述: 检测自身是否被调试
详情信息:
N/A
行为描述: 创建互斥体
详情信息:
RasPbFile
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述: 创建事件对象
详情信息:
EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
行为描述: 获取系统权限
详情信息:
SE_DEBUG_PRIVILEGE
SE_TAKE_OWNERSHIP_PRIVILEGE
SE_RESTORE_PRIVILEGE
SE_BACKUP_PRIVILEGE
SE_CHANGE_NOTIFY_PRIVILEGE
SE_SHUTDOWN_PRIVILEGE
行为描述: 获取TickCount值
详情信息:
TickCount = 485650, SleepMilliseconds = 10.
TickCount = 486260, SleepMilliseconds = 10.
TickCount = 486275, SleepMilliseconds = 10.
TickCount = 486291, SleepMilliseconds = 10.
TickCount = 486338, SleepMilliseconds = 10.
TickCount = 486369, SleepMilliseconds = 10.
TickCount = 486385, SleepMilliseconds = 10.
TickCount = 486416, SleepMilliseconds = 10.
TickCount = 486431, SleepMilliseconds = 10.
TickCount = 486463, SleepMilliseconds = 10.
TickCount = 486478, SleepMilliseconds = 10.
TickCount = 486494, SleepMilliseconds = 10.
TickCount = 486681, SleepMilliseconds = 10.
TickCount = 486697, SleepMilliseconds = 10.
TickCount = 486744, SleepMilliseconds = 10.
行为描述: 获取光标位置
详情信息:
CursorPos = (106,18467), SleepMilliseconds = 10.
行为描述: 关闭系统文件保护
详情信息:
N/A
行为描述: 修改用户密码
详情信息:
NetUserSetInfo: SetPassword = 57425962.
行为描述: 隐藏指定窗口
详情信息:
= [,Afx:400000:8:10011:1900015:0]
行为描述: 关机或重启
详情信息:
N/A
Tech City: beijing
Tech State/Province: CN
Tech Postal Code: 100083
Tech Country: CN
Tech Phone: +86.15887068019
Tech Phone Ext:
Tech Fax: +86.08716666666
Tech Fax Ext:
Tech Email: 282228899@qq.com他QQ:1217744987
他手机是18788552619
百度id:huangzihuabd
百度资料显示:
性别 男
生日 1903年 2月 8日
血型 B
出生地 云南-昆明-西山区
居住地 云南-昆明-西山区
详细资料
体型 苗条
婚姻状态 单身
个人习惯 从不抽烟 偶尔喝酒 经常熬夜
性格 内向
教育程度 高中
当前职业 其他
联系方式 15887068019
兴趣爱好
书籍 水浒传
音乐 张宇的歌 问心无愧
运动 游泳``
欣赏的人 老妈&
其他爱好 打电脑
教育背景
大学云南爱因森软件职业学院
高中昆明市第三中学
域名:y-yy.net 访问此网站
注册商:35 TECHNOLOGY CO., LTD
域名服务器:whois.35.com
DNS服务器:NS1.ZHUJIWU.COM
DNS服务器:NS2.ZHUJIWU.COM
域名状态:ok
更新时间:2013年07月08日
创建时间:2013年07月08日
过期时间:2014年07月08日
联系人:huangzihua
Administrator:
kunmingshiguanduqu
kunming
yunnan,
CN
650200
名字:黄伟 男 18 18788552619
云南 昆明 中国移动 GSM/3G
他的网站论坛:http://www.haikelianmeng.com http://www.daohaowang.com/
敲竹杠,很烦人。证据帖子:https://www.chinapyg.com/thread-82617-1-1.html
我们都爱月姐姐 yaya 发表于 2016-3-3 15:03
里面分析木马的是什么软件?麻烦能告诉一下吗?
在线分析后,再拿IDA分析。
行为分析用的是火绒剑+xuetr
火绒剑是用来分析行为,xuetr阻止程序关机重启。
本人也是小白。第一次弄这个
悬崖勒马 不要玩火! 当年我还是小白的时候尼玛被这玩意儿坑的好惨 走正道吧 阿弥陀佛!阿弥陀佛 这种论坛还来放马 这人真是做死,以后就要严惩这种人! 严惩害群之马 里面分析木马的是什么软件?麻烦能告诉一下吗?
页:
[1]
2