文学论坛挂的马 Worm.Win32.Agent.imh 的简单分析
endurer 原创
2007-08-23 第1版
昨天没能下载文学论坛挂的马,刚才再试,终于下载回来了。
ga.exe采用UPX壳
脱壳前:
文件说明符 : D:/test/ga.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-23 21:9:26
修改时间 : 2007-8-23 21:9:28
访问时间 : 2007-8-23 0:0:0
大小 : 16933 字节 16.549 KB
MD5 : 72525ccb22d2fa50c67729a0cd4af3ce
脱壳后:
文件说明符 : D:/test/ga_org.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-23 21:11:1
修改时间 : 2007-8-23 21:11:1
访问时间 : 2007-8-23 0:0:0
大小 : 22053 字节 21.549 KB
MD5 : 1a8d608a5a0a873f8efa1cdaa7c624f8
运行后会把自己复制到 /Program Files/Internet Explorer/PLUGINS/,文件名为NewTemp.bkk、NewTemp.dll
并修改注册表,注册到ShellExecuteHooks下,CLSID 为 {0EA66AD2-CF26-2E23-532B-B292E22F3266}。
Kaspersky 报为 Trojan-PSW.Win32.Delf.wh,瑞星 报为 Worm.Win32.Agent.imh
标签:21,23,imh,Worm,Agent,Win32,2007,ga From: https://blog.51cto.com/endurer/5900014