Zbot 2×

hx1997

ESET killed 2×.

C:\Users\Gateway\Desktop\ZeuS_binary_382df2a286d35693fa4b1da2d3e943a4.exe - Win32/Kryptik.WPX 特洛伊木马 的变种
C:\Users\Gateway\Desktop\ZeuS_binary_3e413602075defb5ecbde57f5e9ee5c1.exe - Win32/Kryptik.WTM 特洛伊木马 的变种

Avira killed 1×.

Begin scan in 'C:\Users\Gateway\Desktop\ZeuS_binary_382df2a286d35693fa4b1da2d3e943a4.exe'
C:\Users\Gateway\Desktop\ZeuS_binary_382df2a286d35693fa4b1da2d3e943a4.exe
  [DETECTION] Is the TR/Offend.7011361 Trojan

To Avira.

Filename        Result
ZeuS_binary_3e413...c1.exe         MALWARE


The file 'ZeuS_binary_3e413602075defb5ecbde57f5e9ee5c1.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Spy.ZBot.ZC. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Password: infected

wjcharles

NIS2012：

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2011/12/7 1:30:53,高,检测到 zeus_binary_3e413602075defb5ecbde57f5e9ee5c1.exe (Suspicious.Cloud.5.A) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\zbot\zeus_binary_3e413602075defb5ecbde57f5e9ee5c1.exe


另一个信誉竟然良好，但双击sonar还是杀母体及衍生物




完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/12/7 ( 1:31:26 )
上次使用时间 2011/12/7 ( 1:31:26 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
zeus_binary_382df2a286d35693fa4b1da2d3e943a4.exe

创建的文件:
uvkeyr.exe
____________________________
文件操作
文件: c:\users\sshss\appdata\roaming\yxudoga\uvkeyr.exe
已删除
文件: c:\users\sshss\downloads\zbot\zeus_binary_382df2a286d35693fa4b1da2d3e943a4.exe
不需要操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\appdata\roaming\yxudoga\uvkeyr.exe, PID:13772)
未采取操作
事件: 浏览器进程启动 (Performed by c:\users\sshss\downloads\zbot\zeus_binary_382df2a286d35693fa4b1da2d3e943a4.exe, PID:6928)
未采取操作
事件: PE 文件创建: c:\users\sshss\appdata\roaming\yxudoga\uvkeyr.exe (Performed by c:\users\sshss\downloads\zbot\zeus_binary_382df2a286d35693fa4b1da2d3e943a4.exe, PID:6928)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (Performed by c:\users\sshss\downloads\zbot\zeus_binary_382df2a286d35693fa4b1da2d3e943a4.exe, PID:6928)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

zst470396853

360卫士  QVM20  KILL ALL

金山毒霸 杀1 1云鉴定后KILL

卡巴 清空

萧剑

1x to comodo
http://camas.comodo.com/cgi-bin/ ... 1d1ede325360ca02b5e

jayavira

hitman 清空

liulangzhecgr

行为很多...

2011-12-7 07:49:47    修改其他进程的内存    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-12-7 07:50:06    向其他进程复制句柄    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\explorer.exe
句柄: (Mutant) \BaseNamedObjects\{784C9EC7-7BE7-E93A-1F2A-A169CAD24C26}
规则: [应用程序]*

2011-12-7 07:50:10    在其他进程中创建线程    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

explorer.exe 变成傀儡...?!

2011-12-7 07:50:29    修改其他进程的内存    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2011-12-7 07:50:44    向其他进程复制句柄    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\system32\ctfmon.exe
句柄: (Mutant) \BaseNamedObjects\{784C9EC7-7BE7-E93A-8B2E-A1695ED64C26}
规则: [应用程序]*

2011-12-7 07:51:02    在其他进程中创建线程    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

ctfmon 也变成傀儡...?!

2011-12-7 07:51:40    修改其他进程的内存    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2011-12-7 07:51:51    向其他进程复制句柄    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Mutant) \BaseNamedObjects\{784C9EC7-7BE7-E93A-432C-A16996D44C26}
规则: [应用程序]*

2011-12-7 07:52:33    在其他进程中创建线程    允许
进程: c:\documents and settings\administrator\application data\yvdupa\ovum.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

iexplore.exe 变成傀儡...?!

--------------------------------------------------------------------------------

星晨

BitDefender 清空

蓝天二号

金山卫士，清空

wuyongliang

蝰蛇清空

倾枫锝渔♂

卡巴  清空~