木马下载器Trojan-Downloader.Win32.Small.nkb

最新推荐文章于 2021-04-14 10:14:16 发布
最新推荐文章于 2021-04-14 10:14:16 发布
阅读量2.4k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: windows api exe 扩展
捕获时间

2008-04-12

病毒症状

该程序是使用VC编写的下载程序,由微点主动防御软件自动捕获,采用UPX加壳方式试图躲避特征码扫描,加壳后长度为8,704字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播。

病毒分析
该木马程序被执行后,拷贝自身到%SystemRoot%/system32目录下,修改文件创建时间以及修改时间;通过API函数CreateProcessA运行病毒拷贝;后以批处理的形式将病毒原文件删除;
病毒拷贝运行后,在目录%SystemRoot%/system32下释放动态库wconl.dll,修改文件创建时间、修改时间;通过API函数CreateProcessA运行IEXPLORE.EXE,申请内存空间将wconl.dll写入,通过相关API函数激活病毒代码实现代码注入,访问恶意网站下载其他病毒程序并运行。

   Quote:
项:HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/
键值:DownLmm
指向数据:%SystemRoot%/system32/病毒原文件  

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑
 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
unixtux的专栏
07-24 1030
这个木马是卡巴斯基发现的,每次开机卡巴斯基就会出现提示有木马,但是点击处理所有删除它电脑就会重启,重启完后卡巴斯基有会有相同的提示,依然重启,我实在是解决不了,通过网上才知道是这个木马,卡巴是杀不掉的,只能发现,想想发现也行,毕竟卡巴是杀毒软件,不是木马专杀,总有解决的办法,网上的说法各部相同,经我反复思考还是把它解决了。 网上说 Trojan-Downloader.Win32...
Amazing Slow Downer v3.5.6.zip
07-16
A5下载站向大家推荐一款非常好玩的混音播放软件——Amazing Slow Downer(神奇变音)。Amazing Slow Downer支持CD光盘、MP3歌曲、WAVE文件的播放,专为玩音乐的人所设计,可以不用改变音调,直接将歌曲快转/慢转 50% 到 400%,音调也可以实时调整,绝对是音乐爱好者必备的打碟模拟软件,您值得拥有! Amazing Slow Downer截图
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
小心伪装成jpg图片文件的广告程序/木马下载
caobihole
07-14 395
endurer 原创2006-07-14 第1版 hxxp://sjzl.****9qian.com/上的图片文件 bb.jpg,会释放文件 setup.exe,采用 ASPack 加壳。 卡巴斯基报为:not-a-virus:AdWare.Win32.WSearch.g 江民KV报为:TrojanDownloader.Adload.hp...
VC无进程木马下载源码(利用IE隐藏进程)
Koma的主页
08-04 3232
  一、 打开半年前的一个工程,是利用IE来隐藏进程下载的实例,我想灰鸽子也是类似原理吧!       下面是程序的主要思路:       1.获取程序自身路径,启动IE进程       2.获取到IE进程句柄       3.分配内存       4.获取进程映像的地址       5.得到内存镜像大小       6.确定起始基址
遭遇trojan-downloader.win32.agent.vjh
NONAME的专栏
07-29 1421
 今天下午开始本打算学习ARCIMS的,正是因为要学习它就装软件吧,为了节约内存我把卡巴给关掉,于是惹来了trojan-downloader.win32.agent.vjh木马,真够郁闷的。现象:一旦机启动如果卡巴随机启动,于是卡巴会提示发现病毒并要求处理,你点击处理不一会机就自动重启了。然而卡巴还是会报告这是什么病毒。解决:自己先是去删除windows文件下东西。根本不管用。最后上网
JS脚本病毒调试脚本-Trojan[Downloader]:JS/Nemucod
weixin_30794499的博客
01-02 1303
1、前言 遇到Trojan[Downloader]:JS/Nemucod需要分析,这款病毒主要为js运行。从网上各种找js调试方法。发现52的帖子还挺沾边的。 TrojanDownloader:JS/Nemucod分析【原创+翻译】 https://www.52pojie.cn/forum.php?mod=viewthread&tid=513740 结果用帖子里的代码一调试,发现...
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载木马类,病毒运行后调用API获取系统文件夹...
trojan-1.16.0-win.zip
04-01
trojan
Trojan-Qt5-Windows.1.1.6.rar
01-27
【标题】"Trojan-Qt5-Windows.1.1.6.rar" 是一个与恶意软件相关的压缩包文件,特别提到了"Trojan Client",这通常指的是特洛伊木马病毒的一个客户端版本。特洛伊木马是一种设计用于欺骗用户的计算机程序,表面上看...
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
危险进程总结
joyareslee的专栏
10-13 7412
危险进程集粹(235个,详细说明)<br />一般电脑中都有20-33个进程在后台运行着。有的占用了太多的系统资源,造成机运行缓慢。更为不幸的是,一些进程是间谍软件和木马,如此你的隐私和机的控制权会被黑客所掌控。<br />不安全风险进程A180ax.exe    <br />是注册为TROJ.ISTZONE.H的下载。这个进程通常与其它病毒捆绑,用于下载其它病毒到您的计算机上。a.exe <br />W32.Ahlem.A@mm蠕虫程序,通过电子邮件传播感染到您的计算机上。actalert.exe
最新病毒“恶魔” Virus.Win32.Devil.a 分析
weixin_34090643的博客
09-10 1757
安天实验室提醒广大用户谨防最新病毒“恶魔”。Virus.Win32.Small.aa。 “恶魔”病毒感染大部分文件格式,包括exe/ini/bat/sys/bin等多种类型的文件。被该病毒感染后,文件图标为恶魔图标。 该病毒的感染方式为捆绑式,加载在正常文件的头部,大小为61026个字节。并把被感染的文件名后添加“.exe”。如:boot.ini文件被感染后的文件名为bo...
行为分析 恶意下载感染者 Trojan-Downloader.Win32.Agent.ahpi
weixin_33978044的博客
10-01 1078
病毒名称:BitDefender:- Kaspersky:Trojan-Downloader.Win32.Agent.ahpi NOD32v2:a variant of Win32/TrojanDownloader.Agent.UGC Rising:Trojan.Win32.Undef.dvoVT扫...
9104年了,你还中毒?—— Synaptics.exe 中毒小记
tfel-ypoc
04-14 8716
本文最先发布于 作者的CNBLOG 不知道从什么时候开始,电脑装完系统就不会去刻意再安装个杀毒软件了 感觉互联网上看到跟我类似情况的人还不少 目前我的 Windows PC 上,日常就运行一个火绒安全,用来做程序访问管控 最近,因为下载/安装软件的原因,跟Synaptics这个病毒搞上了 起因 因为需要,从某不熟悉下载下载了一个爬虫工具。 说来也邪门,平时我对于这类的软件,起码也会拿火绒去扫一下。但这次没有,我直接安装了。 之后,我又凑巧插了U盘进行数据写入操作,拷贝了几个可执行文..
Synares感染型简单分析
热门推荐
信息安全
10-24 2万+
文章目录前言样本简单分析 前言 Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告 样本简单分析 当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。 样本会判断互斥体避免多开,获取一些资源
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值