网页挂马+winescs.exe av.exe esc32.dll +盗号木马
thtp://www.yzdir.com
貌似有很多这样的链接
href="tiggle.com"><b><span lang=ZH-CN style='font-family:SimSun;color:#657829;
mso-fareast-language:ZH-CN;text-decoration:none;text-underline:none'>话</span></b></a> | <a
href="tiggle.com"><b><span lang=ZH-CN style='font-family:SimSun;color:#657829;
mso-fareast-language:ZH-CN;text-decoration:none;text-underline:none'>穌图</span></b></a> | <a
href="tiggle.com"><b><span lang=ZH-CN style='font-family:SimSun;color:#657829;
mso-fareast-language:ZH-CN;text-decoration:none;text-underline:none'>脄 蔍ゅ
tpht://www.yzdir.com/tiggle.com (一个自解压文件)
電梯整人.TXT 和桌面.exe(还是自解压文件)
av.com 这个就是病毒源文件了
Borland Delphi 6.0 - 7.0编写未加壳
简单分析
1,检查是否存在互斥变量tfexemutex如果不存在就创建一个,并且还整了一个tescatom的全局Atom都是为了保证程序只允许运行一个实例吗
2,将自身复制到C:\WINDOWS\system32\并重命名为winescs.exe
3,读取自身的类型为RT_RCDATA名为MPINFO的资源 写入文件C:\temp.dll 并复制到C:\WINDOWS\debug\esc32.dll然后删除C:\temp.dll文件
4,写入注册表 HKCR\CLSID\{C5DB81B1-F936-4632-B38F-DF366BAFD397}\InProcServer32 Value: C:\WINDOWS\debug\esc32.dll实现开机自启动
5.esc32.dll文件貌似是个盗号的不良分子 保存帐号到C盘的pow.txt 天堂账号: game:msn.tw\n\nmsn账号:奇魔用户: h**p://login.live.com/login.srf?
h**p://www.bidder.cc/login_p.asp
h**p://s01.bidder.cc/login_p.asp
h**p://s02.bidder.cc/login_p.asp
6,病毒 2008-03-28 10:51:56 C:\tiggle\esc32.dll Win32.PSWTroj.Lineage.DN.138240
病毒 2008-03-28 10:51:56 C:\tiggle\av.exe Win32.PSWTroj.Nilage.160768
您的位置: