本文记录了一封主题为“好东西”的可疑电子邮件,其中包含了一个名为Trojan-PSW.Win32.Magania.dsg的木马程序。通过分析附件内容及多种反病毒软件的扫描结果,详细介绍了该木马的特征和技术细节。
收到一个标题为“好东西”的可疑电子邮件/Trojan-PSW.Win32.Magania.dsg
endurer 原创
2008-02-01 补充 Kaspersky 的反应
已检测到: 木马程序 Trojan-PSW.Win32.Magania.dsg文件: D:/test/脚本.zip/脚本.cmd/data.rar/41.sfx.exe/data.rar/41.exe
2008-01-25 第1版
突然收到一位久未联系的网友的电子邮件。
邮件标题为:好东西
邮件正文为:给你看个好东西,要的话速回@@
附件:脚本.zip - ZIP压缩文件,解包大小为317042字节
包含:脚本.cmd -自解压格式RAR压缩文件,解包大小为275241字节
;下列注解包含自解档指令码命令
Setup=41.sfx.exe
TempMode
Silent=1
Overwrite=1
41.sfx.exe -自解压格式RAR压缩文件,解包大小为117025字节
;下列注解包含自解档指令码命令
Setup=41.exe
Presetup=mm
Silent=1
Overwrite=1
这个文件用的壳比较罕见,似乎是北斗壳的变种~
在线扫描的结果
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果 |
|---|---|---|---|
| AhnLab-V3 | 2008.1.26.10 | 2008.01.25 | - |
| AntiVir | 7.6.0.53 | 2008.01.25 | TR/Crypt.NSPM.Gen |
| Authentium | 4.93.8 | 2008.01.26 | Possibly a new variant of W32/PWStealer3!Generic |
| Avast | 4.7.1098.0 | 2008.01.25 | - |
| AVG | 7.5.0.516 | 2008.01.25 | - |
| BitDefender | 7.2 | 2008.01.26 | - |
| CAT-QuickHeal | 9.00 | 2008.01.25 | Win32.Packed.NSAnti.r |
| ClamAV | 0.91.2 | 2008.01.26 | - |
| DrWeb | 4.44.0.09170 | 2008.01.25 | - |
| eSafe | 7.0.15.0 | 2008.01.16 | suspicious Trojan/Worm |
| eTrust-Vet | 31.3.5486 | 2008.01.26 | - |
| Ewido | 4.0 | 2008.01.25 | - |
| FileAdvisor | 1 | 2008.01.26 | - |
| Fortinet | 3.14.0.0 | 2008.01.26 | - |
| F-Prot | 4.4.2.54 | 2008.01.25 | W32/PWStealer3!Generic |
| F-Secure | 6.70.13260.0 | 2008.01.26 | Suspicious:W32/Malware!Gemini |
| Ikarus | T3.1.1.20 | 2008.01.26 | - |
| Kaspersky | 7.0.0.125 | 2008.01.26 | - |
| McAfee | 5216 | 2008.01.26 | New Malware.hw |
| Microsoft | 1.3109 | 2008.01.26 | VirTool:Win32/Obfuscator!Mal |
| NOD32v2 | 2823 | 2008.01.25 | - |
| Norman | 5.80.02 | 2008.01.24 | - |
| Panda | 9.0.0.4 | 2008.01.25 | Suspicious file |
| Prevx1 | V2 | 2008.01.26 | Heuristic: Suspicious Self Modifying EXE |
| Rising | 20.28.50.00 | 2008.01.26 | - |
| Sophos | 4.25.0 | 2008.01.26 | Mal/EncPk-CE |
| Sunbelt | 2.2.907.0 | 2008.01.25 | - |
| Symantec | 10 | 2008.01.26 | - |
| TheHacker | 6.2.9.198 | 2008.01.25 | - |
| VBA32 | 3.12.2.5 | 2008.01.21 | - |
| VirusBuster | 4.3.26:9 | 2008.01.25 | Trojan.Lineage.Gen!Pac.3 |
| Webwasher-Gateway | 6.6.2 | 2008.01.25 | Trojan.Crypt.NSPM.Gen |
| 附加信息 |
|---|
| File size: 117025 bytes |
| MD5: a97da1d472795f6292dd7d04cb6359fe |
| SHA1: 957f638cf7a4e280006bd215a2f3df1c40a62c40 |
| PEiD: - |
| Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=039DC4132194491AC98301583B234E00D83FB8D1 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
