Orz.exe-Trojan.Drondog

2008年7月14日 | 分类: 病毒分析 | 标签: , ,

下午16:30分突然有兴致给大家做博客友情链接,先是访问了某人的域名:*.sealx.*,结果大失所望,不过有一个惊喜:他的博客被人挂病毒了.是最近比较流行的Flash漏洞之一的ORZ,这是我抓到的第二个版本,比之前的大了4K,达到20K,因为是相对比较老的病毒其他分析略
File: orz2.exe
Size: 20897 bytes
Modified: 2008年7月13日, 17:04:14
MD5: D0708FEC72B9696B1B862FCA842D9C3C
SHA1: 6FBD16D3E0D89143E0A8A431C0EFEAF5D5A2E7E4
CRC32: 14A4CA50
Shell:NsPacK V3.7

运行后创建文件
c:\mahtesf3.bat 128 bytes 0xD31C0557638F79C6BEC32A6918688900
替换%System%\explorer.exe 1,032,192 bytes 0xA0732187050030AE399B241436565E64
%Windir%\fvca.exe

目前还没有任何评论.