一款QQ盗号木马分析
摘要:
文件结构:资料.exe1.1CrashRacoaF.fnr运行后会弹出一个“汇款单”的图片文件,嫣然是一个伪装的木马。这个图片其实是在C盘下面的:C:\汇款单.jpg。简单分析文件:资料.exe是主程序。1.1是个dll,导出一个名叫“开始”的函数。这两个文件都有加壳,可以轻松脱掉。CrashRacoaF.fnr是个zip压缩包,解压后里面会有很多个文件,其实这里面的文件都一样,原始名称是shell.dll,版本信息是:大连大有吴涛易语言软件开发有限公司,产品名称:操作系统界面功能支持库。可以知道这个是易语言的库,就不用分析了,至于为什么带有这么多个拷贝就不知道了。如果把1.1文件删除掉,直接 阅读全文
posted @ 2011-12-02 13:44 BIGSING 阅读(1329) 评论(0) 推荐(1) 编辑
