[注意]最近出现了一种通过QQ传播的木马，中招的设备向其它人发送一个7z压缩文件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼首先，这玩意没有利用任何主流压缩软件的漏洞。第二，这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果： cd4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3i4K6t1K6i4K6u0r3k6X3W2D9k6g2)9J5c8U0t1K6k6h3p5$3x3h3j5%4k6X3p5H3k6U0N6S2j5e0q4S2k6U0l9J5j5K6R3I4y4r3b7K6k6o6V1J5k6r3f1$3x3U0u0V1y4o6t1K6j5h3y4U0j5h3b7^5z5o6m8U0y4o6W2U0z5h3u0S2x3U0g2S2k6e0y4T1x3U0f1K6x3e0u0Q4x3V1k6V1k6i4c8W2j5%4c8A6L8$3^5`. 2017-11-15 08:51 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 3 楼看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent\QQPCMgr"等等这些. 文件太大了, 也懒得仔细分析了, 机器又破,IDA都花了十多分钟才加载分析完成. 还有就是VT那个检测不准, 本地测试的话杀软是两个包一起杀的. 2017-11-15 11:25 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 4 楼 Morgion 首先，这玩意没有利用任何主流压缩软件的漏洞。第二，这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果： dd8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3i4K6t1K6i4K6u0r3k6X3W2D9k6g2)9J5c8U0t1K6k6h3p5$3x3h3j5%4k6R3`.`. ... 见笑，我都没解压缩过，木有技术生怕中招了 2017-11-15 11:43 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 5 楼逻辑错误看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ... 这玩意做得确实大10多Ｍ的文件，估计功能齐全了 2017-11-15 11:44 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 6 楼逻辑错误看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ... 最近中招的人太多，QQ好友里有点泛烂了 2017-11-15 11:47 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 7 楼 jeetgggg 这玩意做得确实大10多Ｍ的文件，估计功能齐全了我要是病毒作者,我就不会传播这么大的文件, 直接传播一个mini的download文件多好, 剩下的云端慢慢下载. 2017-11-16 10:06 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 13 关注私信	noNumber 2 8 楼大才让一些人觉得可信啊。。 2017-11-16 16:43 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 13 关注私信	noNumber 2 9 楼以前有向群共享传文件利用的是WEB协议、只是不知道他是怎么向好友发送文件的， 2017-11-16 16:43 0
右手Plus 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	右手Plus 10 楼木马本身体积不大，是作者自己后来加入一些垃圾资源进去，让他变大的，主要目的是想绕过杀毒软件上传检测查杀，因为杀毒软件有后台自动上传木马功能，体积比较大的会忽略不被上传 2017-11-25 10:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼首先，这玩意没有利用任何主流压缩软件的漏洞。第二，这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果： cd4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3i4K6t1K6i4K6u0r3k6X3W2D9k6g2)9J5c8U0t1K6k6h3p5$3x3h3j5%4k6X3p5H3k6U0N6S2j5e0q4S2k6U0l9J5j5K6R3I4y4r3b7K6k6o6V1J5k6r3f1$3x3U0u0V1y4o6t1K6j5h3y4U0j5h3b7^5z5o6m8U0y4o6W2U0z5h3u0S2x3U0g2S2k6e0y4T1x3U0f1K6x3e0u0Q4x3V1k6V1k6i4c8W2j5%4c8A6L8$3^5`. 2017-11-15 08:51 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 3 楼看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent\QQPCMgr"等等这些. 文件太大了, 也懒得仔细分析了, 机器又破,IDA都花了十多分钟才加载分析完成. 还有就是VT那个检测不准, 本地测试的话杀软是两个包一起杀的. 2017-11-15 11:25 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 4 楼 Morgion 首先，这玩意没有利用任何主流压缩软件的漏洞。第二，这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果： dd8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3i4K6t1K6i4K6u0r3k6X3W2D9k6g2)9J5c8U0t1K6k6h3p5$3x3h3j5%4k6R3`.`. ... 见笑，我都没解压缩过，木有技术生怕中招了 2017-11-15 11:43 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 5 楼逻辑错误看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ... 这玩意做得确实大10多Ｍ的文件，估计功能齐全了 2017-11-15 11:44 0
jeetgggg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	jeetgggg 6 楼逻辑错误看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ... 最近中招的人太多，QQ好友里有点泛烂了 2017-11-15 11:47 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 7 楼 jeetgggg 这玩意做得确实大10多Ｍ的文件，估计功能齐全了我要是病毒作者,我就不会传播这么大的文件, 直接传播一个mini的download文件多好, 剩下的云端慢慢下载. 2017-11-16 10:06 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 13 关注私信	noNumber 2 8 楼大才让一些人觉得可信啊。。 2017-11-16 16:43 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 13 关注私信	noNumber 2 9 楼以前有向群共享传文件利用的是WEB协议、只是不知道他是怎么向好友发送文件的， 2017-11-16 16:43 0
右手Plus 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	右手Plus 10 楼木马本身体积不大，是作者自己后来加入一些垃圾资源进去，让他变大的，主要目的是想绕过杀毒软件上传检测查杀，因为杀毒软件有后台自动上传木马功能，体积比较大的会忽略不被上传 2017-11-25 10:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复