本文分析了一种名为Trojan-PSW.Win32.QQPass.ro的木马病毒,该病毒通过伪装成含有个人照片的网页链接传播,利用VBScript脚本下载并执行恶意文件123.exe。该恶意软件采用了多种技术手段来规避检测。
endurer 原创
2006-12-09 第1版
QQ收到如下信息:
/--------
www.hrb**wht.com/123***.html这里有我的照片大家去看下顺便给个评价谢谢了
--------/
该网页的内容为使用自定义函数UnEncode()加密的VBScript脚本程序,如果运行的话可以看到作者的QQ号和“You DO it!”的信息。其功能是利用利用 Scripting.FileSystemObject、Microsoft.XMLHTTP、Adodb.Stream 下载文件 123.exe,保存为 %temp%/g0ld.com,最后通过Shell.Application 的 ShellExecute方法 运行。
123.exe 采用 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 加壳,
/--------
文件说明符 : D:/123.exe
获取文件版本信息大小失败!
大小 : 41122 字节 40.162 KB
MD5 : 057c31aa93552546d82ba1646c712889
--------/
Kaspersky报为 Trojan-PSW.Win32.QQPass.ro。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
