恭喜您中二等奖?原来是中标了——IEPlus.exe/Trojan.Win32.QQFish.x/Packed.Win32.Klone

最新推荐文章于 2022-02-25 19:38:17 发布
最新推荐文章于 2022-02-25 19:38:17 发布
阅读量2k 收藏
点赞数
分类专栏: 系统维护 文章标签: deb structure qq c library 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/3629543
版权
恭喜您中二等奖?原来是中标了——IEPlus.exe
 
endurer 原创
2008-12-29 第 2版 补充卡巴斯基的回复
2008-12-28 第 1
 
今天一开机就发现任务栏里有一个QQ的喇叭图标在闪烁,点击后出现:
 
 
 
 
点击的话,会用IE浏览器打开 hxxp://www.qq**i***t*9***.cn/
 
这么走运?
 
不对呀,偶的QQ还没开呢。
 
拔号上网,运行QQ医生,发现:



另外还发现hosts被劫持 和 几个系统漏洞。
 
断开宽带连接,运行 pe_xscan 扫描 log 并分析,发现如下可疑项: 
pe_xscan 08-11-22 by Purple Endurer
2008-12-28 10:17:38
Windows XP Service Pack 2(5.1.2600)
MSIE:7.0.5730.13
管理员用户组
正常模式

C:/Documents and Settings/All Users/「开始」菜单/程序/启动/IEPlus.exe * 200 | 2008-12-27 8:59:36

O1 - Hosts: 121.11.76.26 qq.com
O1 - Hosts: 121.11.76.26 sn.qq.com
O1 - Hosts: 157.150.195.10 www.dhghost.com Welcome to the UN_ It's your world

O4 - HKLM/../Policies/Explorer/Run: [gem] C:/Documents and Settings/All Users/「开始」菜单/程序/启动/IEPlus.exe
O4 - Global Startup: IEPlus.exe -> Fail to open file

O18 - 协议: ic32pp() - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:/WINDOWS/wc98pp.dll | 2008-12-27 12:44:54

打开任务管理器终止 IEPlus.exe,用bat_do将 IEPlus.exe wc98pp.dll 打包备份后删除。

再用QQ医生扫描清理。

 

文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/IEPlus.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-27 16:55:10
修改时间 : 2008-12-27 16:59:36
大小 : 453493 字节 442.885 KB
MD5 : bc47deb5e9bf2d3d99f6e8a38a5ecd6d
SHA1: 0E0C0AC42695015B101DF70E520F214DAC628661
CRC32: 1e3146ec


 

瑞星报为: Trojan.Win32.QQFish.x

卡巴斯基报为:Packed.Win32.Klone.bi [KLAN-18869865]

 

文件 IEPlus.exe 接收于 2008.12.28 10:20:02 (CET)

反病毒引擎版本最后更新扫描结果
a-squared4.0.0.732008.12.28Virus.Win32.Agent.SIQ!IK
AhnLab-V32008.12.25.02008.12.27Win32/MalPackedB.suspicious
AntiVir7.9.0.452008.12.28TR/Crypt.XPACK.Gen
Authentium5.1.0.42008.12.28-
Avast4.8.1281.02008.12.27Win32:Hupigon-EKK
AVG8.0.0.1992008.12.28Win32/Heur
BitDefender7.22008.12.28-
CAT-QuickHeal10.002008.12.27-
ClamAV0.94.12008.12.28-
Comodo8262008.12.27-
DrWeb4.44.0.091702008.12.28-
eSafe7.0.17.02008.12.24-
eTrust-Vet31.6.62762008.12.24-
Ewido4.02008.12.27-
F-Prot4.4.4.562008.12.27-
F-Secure8.0.14332.02008.12.28Suspicious:W32/Malware!Gemini
Fortinet3.117.0.02008.12.28suspicious
GData192008.12.28Win32:Hupigon-EKK
IkarusT3.1.1.45.02008.12.28Virus.Win32.Agent.SIQ
K7AntiVirus7.10.5682008.12.27-
Kaspersky7.0.0.1252008.12.28-
McAfee54762008.12.27-
McAfee+Artemis54762008.12.27Generic!Artemis
Microsoft1.42052008.12.28PWS:Win32/QQpass.AA
NOD3237192008.12.27-
Norman5.80.022008.12.26-
Panda9.0.0.42008.12.27Trj/VB.ABC
PCTools4.4.2.02008.12.27-
Prevx1V22008.12.28Cloaked Malware
Rising21.09.62.002008.12.28Trojan.Win32.QQFish.x
SecureWeb-Gateway6.7.62008.12.28Trojan.Crypt.XPACK.Gen
Sophos4.37.02008.12.28Mal/Generic-A
Sunbelt3.2.1809.22008.12.22-
Symantec102008.12.28Trojan.Fakemess
TheHacker6.3.1.4.2002008.12.26-
TrendMicro8.700.0.10042008.12.26-
VBA323.12.8.102008.12.27suspected of Backdoor.XiaoBird.5 (paranoid heuristics)
ViRobot2008.12.26.15362008.12.26-
VirusBuster4.5.11.02008.12.27-

附加信息
File size: 453493 bytes
MD5...: bc47deb5e9bf2d3d99f6e8a38a5ecd6d
SHA1..: 0e0c0ac42695015b101df70e520f214dac628661
SHA256: 15e311d50b9a53cecda03aa222602498e8a4b00181c0513efd8508a0499856bd
SHA512: 28f0605842f49ac9750a698a379cb333abdfceaf88c66c561e843499f74eb606
f1d9212b97c16ad39cb749e3dc6d252ad25a7f7890d397120d6edec2d0c493a7
ssdeep: 12288:wV6/wvqJz7UF2gDEdUXqC1S2e/TCA61xgIw6tUD:NJz7rzdkqC1S20TC51
VtUD
PEiD..: -
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.packed 0x1000 0xc0000 0x200 6.07 b60264f893cb08122b6346714cf8e9c0
.RLPack 0xc1000 0x72c72 0x6e775 7.76 b6c35744713c21a6137a3e32cb07a710

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualProtect, VirtualFree, GetModuleHandleA

( 0 exports )
packers (Kaspersky): PE_Patch.RLPack
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=bc47deb5e9bf2d3d99f6e8a38a5ecd6d
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CBCCF66675867DB6EB5E06C83F4B93003D017D10
packers (Avast): RLPack

Trojan-PSW.Win32.QQPass.ro通过QQ信息网页传播
Purpleendurer@CSDN
12-09 1634
endurer 原创2006-12-09 第1版QQ收到如下信息:/--------www.hrb**wht.com/123***.html这里有我的照片大家去看下顺便给个评价谢谢了 --------/该网页的内容为使用自定义函数UnEncode()加密的VBScript脚本程序,如果运行的话可以看到作者的QQ号和“You DO it!”的信息。其功能是利用利用 Scripting.F
关于 Trojan.PWS.QQPass 病毒 清除
老朱的专栏
07-10 1589
2008-07-10 杀毒软件 赛门铁克(Symantec AntiVirus企业版) 报如下提示:扫描类型: 实时防护 扫描事件: 已发现病毒!病毒名称: Trojan.PWS.QQPass文件: C:\WINDOWS\system32\OICQPASS.EXE位置:C:\WINDOWS\system32计算机:C1123C8E60B0455用户:Administrator采用的操作:清除 失败...
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
Purpleendurer@CSDN
06-16 3548
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2endurer 原创 2008-06-16 第1版(继1)到 http://purpleendurer.ys168.com下载 FileInfo、bat_do。先用FileInfo 提取log的红色标记的文件的信息,然后把log的红色标记的文件加入/拖入 bat_do,全选,用
关于勒索病毒 Ransom:Win32.WannaCrypt 解决方案的最后一次说明
dotNET跨平台
05-16 6889
2017/5/12 晚,勒索软件 Ransom:Win32.WannaCrypt 大面积暴发。比病毒爆发更火的,则是各类关于此病毒的新闻、解决方法在朋友圈等社交媒体的爆发。 其,有主观善意但客观一知半解的指导,更有夹带私货的安全软件商携各类工具的广告宣传,以及各大小 IT 公司借此做的宣传。 一时间,众多群众不知所措,战战兢兢;不惜在自己的网络将各种帖子所支招数悉数执行
Trojan/Win32.QQpass.wsy[stealer]分析
安全小站
08-25 1959
Trojan/Win32.QQpass.wsy[stealer]分析 出处:安天实验室 时间:2011年8月22日   病毒标签   病毒名称:Trojan/Win32.QQpass.wsy[stealer]
IEPLUS(IE增强性插件)
weixin_30563319的博客
09-04 283
用Vista好长好长时间了,除了比较吃硬件、老的游戏不兼容、我350W像素的老罗技不能用等等,感觉不是非常不错的。IE 7也还可以,后来我试用了傲游、火狐,在多标签后傲游的一些操作更人性化,我最喜欢它的托拉即可自动出新标签,这样我用一个鼠标就可快速的操作,或许是平时习惯了这种快速操作的感觉。用了快一年,最近发现傲游老是假死,无奈之下就换回IE了,可惜IE又没这些功能,要想打开搜索的结果页...
IE7插件IEPLUS 0.9.10正式发布
weixin_33769207的博客
06-17 81
新闻来源:ieplus.shendoo.com IEPLUS 是针对IE6/IE7开发的一个增强性扩展.尤其对应IE7用户而言,能够通过一个不到200k的dll文件使得IE7实现类似Maxthon ,TheWorld大部分实用功能.而且它自己还支持使用JS插件实现更多的附加特性。 IEPlus是根据微软IE Addon规范开发的一个增强性插件,弥补了系统自带的IE6和I...
Windows XP 深度增强精简版下载 - Deepin XP Lite V2
weixin_33974433的博客
07-29 723
Windows XP的安装包有很多种,这里推荐一个我喜欢的版本:深度技术小组制作的“Deepin XP Lite增强精简版v2”。以下是深度论坛的官方介绍和下载地址: 经过2年的研究和无数朋友的协助测试,Deepin XP Lite已经成为目前最优秀的精简版文XP系统。根据一些朋友的要求,希望在精简系统能够集成IE7和Windows media player 11...
把IE武装到牙齿,IE插件全攻略(转)
cuemes08808的博客
05-23 311
把IE武装到牙齿,IE插件全攻略(转)  提起上网浏览软件,IE浏览器凭借着出众的稳定性和Windows自身的集成而吸引了无数网虫的眼球。但是如今各种基于IE内核的第三方浏览器如同雨后春笋一般涌现出来,这些浏览器附带的各种便捷强...
kongzhi.rar_IEPlus_kongzhi
09-14
标题的“kongzhi.rar_IEPlus_kongzhi”可能指的是一个名为“kongzhi”的RAR压缩文件,该文件与一个叫做“IEPlus”的工具或库有关,可能是一个定制版或者增强版,用于控制或扩展Internet Explorer(IE)浏览器的...
C盘文件翻译.pdf
09-30
30. **AllUsers、Administrator、Program Files、monFiles、InternetExplorer、IEPlus、Applications、WindowsMediaPlayer**:分别表示所有用户的设置、管理员用户配置、程序文件存放目录、文件监控工具、Internet ...
ieplus
02-13
IEPlus是根据微软IE Addon规范开发的一个增强性插件,它不仅弥补了系统自带的IE6和IE7在使用上的不便之处,通过极小的资源占用使得您的IE更易于使用,浏览效率更高。更重要的是它还可以帮助您制作自己的个人门户,...
IE6浏览器增强插件:IEPlus V1.5绿色版
07-17
- **IEPlus.dll**:这是IEPlus的核心动态链接库文件,包含了所有增强功能的代码。它负责与IE6浏览器进行交互,提供增强服务。 - **IEPlusEmbeds.dll**:此文件可能包含了一些嵌入式对象的处理逻辑,用于增强浏览器对...
IEPlus(将网页转存储为图片,过滤广告)
06-24
**IEPlus:网页转存与广告过滤利器** IEPlus是一款专为Internet Explorer浏览器设计的插件,其核心功能是能够将网页内容快速便捷地转换为图片格式,同时具备广告过滤的功能,极大地提升了用户浏览网页的体验。对于...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9159
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3672
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7158
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1786
认识了 TypeScript 的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2776
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4254
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值