二、文件名为“Windowsxp-补丁kb20110807H.COM”的FakeAV木马运行后,搜集用户机器信息传送到服务器端,并暗中下载推广多款软件。 获取机器MAC,和机器描述信息 向网站 hxxp://vip.yaqio.com:9999/Submit.php?id=1&action=inst&mac=00-0C-29-20-3A-7E&lockcode=-11413"提交用户的信息 从hxxp://d.15587.com/ie.bmp将恶意软件暗中下载到临时目录 下载结束,执行木马文件 下载和执行,内含3个软件静默安装的推广包,也就是用户电脑中会莫名其妙的多出三个软件。 "C:\Program Files\Kuping_s_8560.exe" hxxp://d.15587.com/Kuping_s_8560.exe hxxp://d.15587.com/FunshionInstall.exe hxxp://d.15587.com/PPTV(pplive)_forqiqi_0003exe.exe 带有数字签名的静默安装包 b7a97a6171210740279d499cb8fd5f1f PPTV(pplive)_forqiqi_0003exe.exe bc908a9b1423916ad1407ba4a948ffe8 FunshionInstall_C107941.exe b668f13c4885db413666ef2a1a5dd912 Kuping_s_8560.exe 三、Intel.exe执行分析 创建命名管道执行CMD命令,设置文件属性。 创建隐藏IE 打开http://15587.com/?run 生成加密Media Update.vbe Media Update.vbe会用Intel.exe替换Outlook Express\msimn.exe 修改主页hxxp://www.82021.com/? 修改右键菜单: "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\", "C:\Program Files\Internet Explorer\iexplore.exe http://www.82021.com//","REG_SZ" c430ec439ca3b48f1e33839a2852babf Intel.exe c430ec439ca3b48f1e33839a2852babf Masker.exe |
正在阅读:FakeAV木马假冒杀软行骗 偷窃网民数据FakeAV木马假冒杀软行骗 偷窃网民数据
2011-08-11 17:05
出处:PConline原创
责任编辑:lihongyu
键盘也能翻页,试试“← →”键
本文导航 | ||
|