本文分析了文学论坛上出现的Worm.Win32.QQPass.a木马,该木马使用UPX加壳技术,并通过复制自身到特定目录及修改注册表实现持久化。
文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析
endurer 原创
2007-09-02 第1版
这回挂的跟 上回那个 Worm.Win32.Agent.imh (见:文学论坛挂的马 Worm.Win32.Agent.imh 的简单分析)很相似。
0.exe 采用UPX1加壳
脱壳前:
文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F
脱壳后:
文件说明符 : d:/test/0_org.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:21:18
修改时间 : 2007-8-31 19:21:14
访问时间 : 2007-8-31 0:0:0
大小 : 22064 字节 21.560 KB
MD5 : 4797f454f6b22a7f14b4d90c18c9a5ce
HSA1: 0EE42A949864724B6F04EB2D14D025FE286C792E
Kaspersky 报为 Worm.Win32.QQPass.a,瑞星 报为 Trojan.PSW.Win32.Agent.vcd
把自己复制到 /Program Files/Internet Explorer/PLUGINS/,文件名为NewTemp.bkk、NewTemp.dll
并修改注册表,注册到ShellExecuteHooks下,CLSID 为 {0EA66AD2-CF26-2E23-532B-B292E22F3266}。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
