天天看點
傳回

RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent.mjp 的一點分析

RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent.mjp 的一點分析

endurer 原創

2008-04-10 第1版

就是某夏露官方網傳播的東東。

檔案說明符 : D:/test/svcos.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 20:48:57

修改時間 : 2008-4-9 20:48:57

通路時間 : 2008-4-9 20:49:59

大小 : 20625 位元組 20.145 KB

MD5 : 42532b8726845cc29c40c06cb10dce2a

SHA1: 56BA928244657273CD6F26EDB858DD33295D79F9

CRC32: f671a2a2

Kaspersky 報為 Trojan-Downloader.Win32.Agent.mjp,瑞星 報為 RootKit.Win32.RESSDT.o>>fsg2.0>>96

svcos.exe釋放/建立檔案 RESSDT.exe,RESSDT.sys,sysave.exe,C:/Program Files/sys.bat,C:/WINDDK/2600/111/i386/RESSDT.pdb,恢複SSDT使用系統安全防護軟體失效

執行指令:cmd.exe /c net stop wscsvc&net stop sharedaccess&sc config sharedaccess start= disabled&sc config wscsvc start= disabled  &net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop "Norton AntiVirus Server"&cacls "C:/Program Files/Tencent/QQ/QQDoctor"  /d everyone

使用 映像劫持技術 對QQSC.exe,QQDoctor.exe,kavsvc.exe,mmc.exe,msconfig.exe,regedit.exe,zxsweep.exe,WoptiClean.exe,UpLive.EXE.exe,UmxPol.exe,UmxFwHlp.exe,UmxCfg.exe,UmxAttachment.exe,UmxAgent.exe,UIHost.exe,TrojDie.kxp,Trojanwall.exe,rfwProxy.exe,RegClean.exe,rfwcfg.exe,RsAqent.exe,Rsaupd.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,SREng.exe,symlcsvc.exe,TrojanDetector.exe,SysSafe.exe,RavMonD.exe,RavMon.exe,Ras.exe,PFWLveUpdate.exe,QHSET.exe,NAVSetup.exe,mmsk.exe,mmqczj.exe,mcconsol.exe,MagicSet.exe,loaddll.exe,KWatchX.exe,KWatch9x.exe,KvXP_1.kxp,KvXP.kxp,kvwsc.exe,kvupload.exe,KVStub.kxp,KVMonXP.exe,FWMon.exe,PFW.exe,kvsrvxp.exe,KVWSC.exe,KAVStart.exe,KMaiMon.exe,KPfwSvc.exe,KWatch.exe,nod32kui.exe,ccSetApp.exe,ccEvtMgr.exe,ccSetMgr.exe,DefWatch.exe,rtvscan.exe,mctskshd.exe,mcupdmgr.exe,McAgent.exe,ras.exe,runiep.exe,rfwsrv.exe,RfwMain.exe,RavMON.exe,RavStub.exe,RavTask.exe,Rav.exe,Ravmond.exe,CCenter.exe,avp.exe 等常用軟體進行劫持

下載下傳如下檔案:

hxxp://***.look**des*t**.***.cn/hb/xxz.exe

檔案說明符 : D:/test/xxz.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:47

修改時間 : 2008-4-9 21:3:47

通路時間 : 2008-4-9 21:5:17

大小 : 18709 位元組 18.277 KB

MD5 : 1ffe0d00ae97de0677a0d460667518bb

SHA1: 4FBF007ED9D74143CA029906F9917C6548AA0864

CRC32: 105acb2c

Kaspersky 報為 Worm.Win32.AutoRun.dbm

hxxp://***.look**des*t**.***.cn/hb/1.exe 儲存為 com/man1.exe

檔案說明符 : D:/test/1.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:53

修改時間 : 2008-4-9 21:3:54

通路時間 : 2008-4-9 21:5:18

大小 : 20016 位元組 19.560 KB

MD5 : 64caae21051c28d756976485602c82d4

SHA1: BE3369F5DB9FC675D513BB815B69F2A6C60CDDA7

CRC32: daecea2b

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.wem,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/2.exe 儲存為 com/man2.exe

檔案說明符 : D:/test/2.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:53

修改時間 : 2008-4-9 21:3:53

通路時間 : 2008-4-9 21:5:18

大小 : 17984 位元組 17.576 KB

MD5 : e6c0906e9d9de19dbafea90fb6458a18

SHA1: 5774696225657DF4283822F1D291697FB0820303

CRC32: ae289f05

瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/3.exe 儲存為 com/man3.exe

檔案說明符 : D:/test/3.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:53

修改時間 : 2008-4-9 21:3:53

通路時間 : 2008-4-9 21:5:18

大小 : 14064 位元組 13.752 KB

MD5 : 4c419721b3c888116be38fccd08be3a7

SHA1: EE9379585453506E02B715D411B97BC82E302BFE

CRC32: c1990ad5

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zjp

hxxp://***.look**des*t**.***.cn/hb/4.exe 儲存為 com/man4.exe

檔案說明符 : D:/test/4.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:53

修改時間 : 2008-4-9 21:3:53

通路時間 : 2008-4-9 21:5:18

大小 : 19972 位元組 19.516 KB

MD5 : c7a43070725c4050ff8c69c7ba181b60

SHA1: 97C66251F818E53C24D88B83BCA1807494A9F690

CRC32: 27da4f2b

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.whs,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/5.exe 儲存為 com/man5.exe

檔案說明符 : D:/test/5.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:53

修改時間 : 2008-4-9 21:3:53

通路時間 : 2008-4-9 21:5:18

大小 : 18160 位元組 17.752 KB

MD5 : c79446699ca064024a5f7dd706d70e1b

SHA1: 46FA42E1DB41BEC2715BD3A15AC6964277D9FEE5

CRC32: d3c56eff

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yzt,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/6.exe 儲存為 com/man6.exe

檔案說明符 : D:/test/6.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:52

修改時間 : 2008-4-9 21:3:53

通路時間 : 2008-4-9 21:5:18

大小 : 12549 位元組 12.261 KB

MD5 : fdf8c09cb412f496f4aee6bd881e02a5

SHA1: 0E8442E2D14D0C12EAA59194B07D45B2F7AB64E3

CRC32: a3e40e61

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zfe

hxxp://***.look**des*t**.***.cn/hb/7.exe 儲存為 com/man7.exe

檔案說明符 : D:/test/7.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:52

修改時間 : 2008-4-9 21:3:52

通路時間 : 2008-4-9 21:5:18

大小 : 29613 位元組 28.941 KB

MD5 : 90a66cb2fce36d5f42f3c661ef651144

SHA1: 4774DBD051757097DAC464B06FED977B3F7D4405

CRC32: c8c55483

AVP__Trojan-PSW.Win32.Lmir.bpv,瑞星 報為 Trojan.PSW.Win32.GamesOnline.fz>>upack0.39

hxxp://***.look**des*t**.***.cn/hb/8.exe 儲存為 com/man8.exe

檔案說明符 : D:/test/8.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:52

修改時間 : 2008-4-9 21:3:52

通路時間 : 2008-4-9 21:5:18

大小 : 14116 位元組 13.804 KB

MD5 : 17ac4a402988c118a8e89b3cf92c57c6

SHA1: 14A971A4F1C45F5C1768B6B505FD61A1D55F7FE9

CRC32: a6bf5608

AVP__Trojan-PSW.Win32.OnLineGames.whs,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/9.exe 儲存為 com/man9.exe

/---

檔案不存在

---/

hxxp://***.look**des*t**.***.cn/hb/10.exe 儲存為 com/man10.exe

檔案說明符 : D:/test/10.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:51

修改時間 : 2008-4-9 21:3:51

通路時間 : 2008-4-9 21:5:17

大小 : 16164 位元組 15.804 KB

MD5 : baba0dcdaf86c033516cf1f0730b182f

SHA1: DA2C54ADFE45084B10ABD234D239115767BC2923

CRC32: 1d93548a

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zel,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/11.exe 儲存為 com/man11.exe

/---

檔案不存在

---/

hxxp://***.look**des*t**.***.cn/hb/12.exe 儲存為 com/man12.exe

檔案說明符 : D:/test/12.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:51

修改時間 : 2008-4-9 21:3:51

通路時間 : 2008-4-9 21:5:17

大小 : 12166 位元組 11.902 KB

MD5 : 1ecd3591093c79175b21f70454589c11

SHA1: 905528E3EC0BA2E172A3258A00E4591BEA4BADB2

CRC32: a32eb333

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yip,瑞星 報為 Trojan.PSW.Win32.SunOnline.nh

hxxp://***.look**des*t**.***.cn/hb/13.exe 儲存為 com/man13.exe

檔案說明符 : D:/test/13.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:51

修改時間 : 2008-4-9 21:3:51

通路時間 : 2008-4-9 21:5:17

大小 : 12378 位元組 12.90 KB

MD5 : 87f692f3b461d0ce1af45d63476a90c1

SHA1: EABE82E83DE5FD6505C0917E1E3599345A9FD586

CRC32: a0f00d4e

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zfe

hxxp://***.look**des*t**.***.cn/hb/14.exe 儲存為 com/man14.exe

檔案說明符 : D:/test/14.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:50

修改時間 : 2008-4-9 21:3:51

通路時間 : 2008-4-9 21:5:18

大小 : 12649 位元組 12.361 KB

MD5 : 6d014d3266ec3a6f38426a081b62096c

SHA1: B9320FDE7AAD06B6E48D2E97F03A73B1B237C1C1

CRC32: 966bbf18

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zfe

hxxp://***.look**des*t**.***.cn/hb/15.exe 儲存為 com/man15.exe

檔案說明符 : D:/test/15.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:50

修改時間 : 2008-4-9 21:3:50

通路時間 : 2008-4-9 21:5:18

大小 : 17984 位元組 17.576 KB

MD5 : aa9e5588bd4bd5deebd247ce5012461b

SHA1: AED93B4F2B307D056B725369ECF3D6C71BAA9D8A

CRC32: 1adcdd9b

瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/16.exe 儲存為 com/man16.exe

檔案說明符 : D:/test/16.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:50

修改時間 : 2008-4-9 21:3:50

通路時間 : 2008-4-9 21:5:18

大小 : 19996 位元組 19.540 KB

MD5 : 4423478bb0b21e602318e00829ca7193

SHA1: 6DE0115D3C2F480E6BCA5ACC803C4CEE353C92E6

CRC32: 58d68f12

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zea,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/17.exe 儲存為 com/man17.exe

檔案說明符 : D:/test/17.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:50

修改時間 : 2008-4-9 21:3:50

通路時間 : 2008-4-9 21:5:18

大小 : 16872 位元組 16.488 KB

MD5 : 468e7c367cf9791b4c3ee49a378060e7

SHA1: 2FBF17E568D3CD4BBC45E2FBEF5AAECB1B08440A

CRC32: e56f14a3

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.xml,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/18.exe 儲存為 com/man18.exe

檔案說明符 : D:/test/18.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:50

修改時間 : 2008-4-9 21:3:50

通路時間 : 2008-4-9 21:5:18

大小 : 17395 位元組 16.1011 KB

MD5 : 39ff978de3b20a2eeef2e28423d9e827

SHA1: BD2496E54563858D1E4DA08D33F8B70BF47F3010

CRC32: 3327ef21

hxxp://***.look**des*t**.***.cn/hb/19.exe 儲存為 com/man19.exe

檔案說明符 : D:/test/19.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:50

通路時間 : 2008-4-9 21:5:18

大小 : 17276 位元組 16.892 KB

MD5 : 888cad78608d92971b93ec2551f2fd2a

SHA1: 6A4025CE14993D0512A3E3D6E4E4F04CE249D6C4

CRC32: 2cfa9442

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yxl,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/20.exe 儲存為 com/man20.exe

檔案說明符 : D:/test/20.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 11710 位元組 11.446 KB

MD5 : ef33b6aa76673ab8b9eefd2df849b60d

SHA1: 5905C2238BD133AE936418A44C25A4AC6F5D9E5D

CRC32: 86ba07fd

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yip,瑞星 報為 Trojan.PSW.Win32.SunOnline.nh>>upack0.39

hxxp://***.look**des*t**.***.cn/hb/21.exe 儲存為 com/man21.exe

檔案說明符 : D:/test/21.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 14468 位元組 14.132 KB

MD5 : 7e02b5bd61365bc7646ccdcc96c70e23

SHA1: CD1B8CAE6898C11067467393483DC9E40ED8B7B6

CRC32: 0dd9e32f

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yzt,瑞星 報為 Packer.Win32.Upack.a

hxxp://***.look**des*t**.***.cn/hb/22.exe 儲存為 com/man22.exe

檔案說明符 : D:/test/22.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 12340 位元組 12.52 KB

MD5 : b3921445c539dc03cc856a8fb0abaddb

SHA1: C0F26E200A4CAED0394DDC20A0B9045B354072AF

CRC32: 54efbd17

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.zdk

hxxp://***.look**des*t**.***.cn/hb/23.exe 儲存為 com/man23.exe

檔案說明符 : D:/test/23.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 13422 位元組 13.110 KB

MD5 : 2ff28cadafd1943b52f4d34e08f00ac9

SHA1: AC9DE9658F454A359BDE0A573E4696FFF8A86798

CRC32: fbfad1af

Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.yrt,瑞星 報為 Trojan.PSW.Win32.SunOnline.nh>>upack0.39

hxxp://***.look**des*t**.***.cn/hb/24.exe 儲存為 com/man24.exe

檔案說明符 : D:/test/24.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:49

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 4537 位元組 4.441 KB

MD5 : 6ba5a1fa266096207dc7e560e9764e41

SHA1: 17138421250A9BF89A9CC6078B8ED0DBFA4F9238

CRC32: 7d478692

Kaspersky 報為 Trojan-PSW.Win32.Nilage.cfp

hxxp://***.look**des*t**.***.cn/hb/25.exe 儲存為 com/man25.exe

檔案說明符 : D:/test/25.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:48

修改時間 : 2008-4-9 21:3:49

通路時間 : 2008-4-9 21:5:17

大小 : 31348 位元組 30.628 KB

MD5 : f3ba591f8d6222f83c066633515a8079

SHA1: A2C9F2CB9EB0291AB54263DE5146E0F52B64D7E6

CRC32: 1ba8e7c2

Kaspersky 報為 Trojan-Downloader.Win32.Small.suu,瑞星 報為 Trojan.DL.Win32.Mnless.zbh>>upack0.39>>pecompact2x

hxxp://***.look**des*t**.***.cn/hb/26.exe 儲存為 com/AtiSrvn.exe

檔案說明符 : D:/test/26.exe

屬性 : A---

擷取檔案版本資訊大小失敗!

建立時間 : 2008-4-9 21:3:48

修改時間 : 2008-4-9 21:3:48

通路時間 : 2008-4-9 21:5:17

大小 : 39765 位元組 38.853 KB

MD5 : 31345d961619da423cae8b7c347f2c68

SHA1: 440FA5ED4BE8CEAB746705A602C34570E7CC9F73

CRC32: f2b343a0

Kaspersky 報為 Trojan-Downloader.Win32.VB.dox,瑞星 報為 Backdoor.Win32.Scan.a>>fsg2.0>>65>>65

c 修改時間 版本資訊 3c
上一篇: 小程式開發有哪些盈利模式?
下一篇: 考研政治題庫,考研政治1000題之每日一題

繼續閱讀