收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 4 / 44 awt43abr.zip 双截屏木马 ...
1234下一页
返回列表 发新帖
查看: 9259|回复: 30
收起左侧

[可疑文件] VT Detection ratio: 4 / 44 awt43abr.zip 双截屏木马再现,前赴后继

  [复制链接]
firefox3
发表于 2013-1-5 00:44:36 | 显示全部楼层 |阅读模式
本帖最后由 firefox3 于 2013-1-5 00:48 编辑













https://www.virustotal.com/file/ ... nalysis/1357317636/

https://www.virustotal.com/file/ ... nalysis/1357317624/

2013-01-05 00:36:55         C:\Program Files\Internet Explorer\iexplore.exe         创建进程, 可疑病毒         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe
2013-01-05 00:37:23         C:\Program Files\Internet Explorer\iexplore.exe         创建进程, 可疑病毒         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe
2013-01-05 00:37:25         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe         直接显示器访问, 可疑病毒          
2013-01-05 00:37:44         C:\Program Files\Internet Explorer\iexplore.exe         创建进程         C:\Documents and Settings\Administrator\awt43abr.exe
2013-01-05 00:38:09         C:\Program Files\Internet Explorer\iexplore.exe         创建进程         C:\Documents and Settings\Administrator\awt43abr.exe
2013-01-05 00:38:12         C:\Documents and Settings\Administrator\awt43abr.exe         直接显示器访问          
报告结束

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

katatlove
发表于 2013-1-5 00:53:10 | 显示全部楼层
GDATA WGSD入库,另一个双击,启动项留了一个,应该是正常的吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

firefox3
 楼主| 发表于 2013-1-5 01:04:08 | 显示全部楼层
katatlove 发表于 2013-1-5 00:53
GDATA WGSD入库,另一个双击,启动项留了一个,应该是正常的吧

你用XueTr.exe看一下,是不是什么挂在rundll32下面
回复

举报

a256886572008
发表于 2013-1-5 01:07:22 | 显示全部楼层
katatlove 发表于 2013-1-5 00:53
GDATA WGSD入库,另一个双击,启动项留了一个,应该是正常的吧

http://cima.security.comodo.com/ ... b8b67801729f3b1.htm

啟動項就是那個 .nls 文件。

GDATA BM 沒把那註冊表回滾?

如果AV沒報那個啟動文件的話,就........
回复

举报

chen月
发表于 2013-1-5 01:09:39 | 显示全部楼层
毛豆真的那么厉害么?这种弹窗对于小白来说  几乎没用吧?
回复

举报

firefox3
 楼主| 发表于 2013-1-5 01:09:57 | 显示全部楼层
a256886572008 发表于 2013-1-5 01:07
http://cima.security.comodo.com/report/73bfc988ae2127ef6fc4fa404b8b67801729f3b1.htm

啟動項就是那 ...

就是藏起来了  


CU\Software\Microsoft\Windows\CurrentVersion\Run\Rundll32        REG_SZ        192        "Rundll32.exe "C:\Documents and Settings\User\Application Data\Microsoft\Windows\unicode2.nls",0"
回复

举报

firefox3
 楼主| 发表于 2013-1-5 01:11:01 | 显示全部楼层
chen月 发表于 2013-1-5 01:09
毛豆真的那么厉害么?这种弹窗对于小白来说  几乎没用吧?


那你找有用的
回复

举报

chen月
发表于 2013-1-5 01:14:08 | 显示全部楼层
firefox3 发表于 2013-1-5 01:11
那你找有用的

怎么看这个程序的确是病毒呢  那几个黄色弹窗似乎看不出什么来
回复

举报

katatlove
发表于 2013-1-5 01:14:30 | 显示全部楼层
firefox3 发表于 2013-1-5 01:04
你用XueTr.exe看一下,是不是什么挂在rundll32下面

C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\unicode2.nls

那个NLS 被GDATA清除了
回复

举报

firefox3
 楼主| 发表于 2013-1-5 01:15:59 | 显示全部楼层
katatlove 发表于 2013-1-5 01:14
C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\unicode2.nls

那个NLS ...

那就是防御成功了,注册表清理一下就好
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 15:49 , Processed in 0.133692 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表