收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 卡饭挂马针对红伞、卡巴免杀4.26更新样本!
123456789下一页
返回列表 发新帖
查看: 15834|回复: 87
收起左侧

[病毒样本] 卡饭挂马针对红伞、卡巴免杀4.26更新样本!

[复制链接]
yhjtj
发表于 2009-4-25 20:47:19 | 显示全部楼层 |阅读模式
4.26样本和报告往下看
十几分钟前扫描报告卡巴还不能杀,现在可以杀了,不过红伞依旧无反应!
可以说这是阴险的有预谋的针对红伞和卡巴在本论坛的高使用率的阴谋挂马行为。
这是病毒行为分析地址:http://www.threatexpert.com/report.aspx?md5=68e277490e883bcd420ae9cb8d685524
样本:
扫描报告:
文件 Actvev_1_.exe 接收于 2009.04.25 14:37:33 (CET)
当前状态: 完成
结果: 23/40 (57.50%)


格式化文本
打印结果



反病毒引擎版本最后更新扫描结果
a-squared4.0.0.1012009.04.25Trojan-PWS.Win32.Agent.jp!IK
AhnLab-V35.0.0.22009.04.24-
AntiVir7.9.0.1562009.04.24-
Antiy-AVL2.0.3.12009.04.24-
Authentium5.1.2.42009.04.24W32/Rootkit-PX!Eldorado
Avast4.8.1335.02009.04.25Win32:Rootkit-gen
AVG8.5.0.2872009.04.25Win32/Heur
BitDefender7.22009.04.25Trojan.KillAV.PT
CAT-QuickHeal10.002009.04.25-
ClamAV0.94.12009.04.25-
Comodo11352009.04.25-
DrWeb4.44.0.091702009.04.25-
eSafe7.0.17.02009.04.23Suspicious File
eTrust-Vet31.6.64752009.04.24-
F-Prot4.4.4.562009.04.24W32/Rootkit-PX!Eldorado
F-Secure8.0.14470.02009.04.25-
Fortinet3.117.0.02009.04.25W32/Dropper.Q!tr
GData192009.04.25Trojan.KillAV.PT
IkarusT3.1.1.49.02009.04.25Trojan-PWS.Win32.Agent.jp
K7AntiVirus7.10.7162009.04.25-
Kaspersky7.0.0.1252009.04.25Trojan-Downloader.Win32.Geral.eu
McAfee55952009.04.24Generic Dropper.q
McAfee+Artemis55952009.04.24Generic!Artemis
McAfee-GW-Edition6.7.62009.04.25-
Microsoft1.46022009.04.25Trojan:Win32/Dogrobot.F
NOD3240352009.04.25a variant of Win32/AntiAV.AZQ
Norman6.00.062009.04.24W32/Rootkit.XDV.dropper
nProtect2009.1.8.02009.04.25-
Panda10.0.0.142009.04.25Suspicious file
PCTools4.4.2.02009.04.25-
Prevx13.02009.04.25-
Rising21.26.52.002009.04.25Trojan.Win32.KillAV.bau
Sophos4.41.02009.04.25Mal/PWS-Fam
Sunbelt3.2.1858.22009.04.24Trojan.Rootkit.GEN
Symantec1.4.4.122009.04.25Infostealer.Gampass
TheHacker6.3.4.1.3142009.04.25-
TrendMicro8.700.0.10042009.04.24Possible_Mlwr-13
VBA323.12.10.32009.04.24suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot2009.4.24.17082009.04.24-
VirusBuster4.6.5.02009.04.24-
附加信息
File size: 42504 bytes
MD5...: 68e277490e883bcd420ae9cb8d685524
SHA1..: f289b20a8f581b2f14c7367c59c0cdd4f2636caa
SHA256: b380b64d36ada386a062a626d744ca257e006906cf58b4e5b2f14fce2902b5b6
SHA512: 5f23979aae9e9a4d1ebb5cf3000fe189e8b66fdb9e55a4873ea31f1943572354
86c4ad256b11b5dd0ae227fec669bd2931f91974641f35e74e5fb55118d68257
ssdeep: 768:5qDBa85DYmUqNLMAlHswFKuiJTudHoFHpIcz6UYLiiwTw0PI:oYoYmUSLMOs
cKDJCdHCH/69YTe
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1be90
timedatestamp.....: 0x49f1b77d (Fri Apr 24 12:58:37 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13000 0xa000 0x9200 7.88 bd86cdfe6f82dac0d89620f74bece3ef
.rsrc 0x1d000 0x1000 0x600 3.09 52ea5891c8b2ad2f4e8b5d77cf5248fe

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: OpenServiceA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Avast): UPX
packers (F-Prot): UPX


最新消息红伞也可以杀了,大蜘蛛依然无视。

文件 Actvev.rar 接收于 2009.04.25 16:22:55 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止

结果: 23/40 (57.5%)

正在读取服务器信息中...
您的文件所排队列位置: 1.
预计开始时间为 38 和 54 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本
打印结果


您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.  
Email:



反病毒引擎版本最后更新扫描结果
a-squared4.0.0.1012009.04.25Trojan-PWS.Win32.Agent.jp!IK
AhnLab-V35.0.0.22009.04.24-
AntiVir7.9.0.1562009.04.25TR/Dldr.Geral.EU
Antiy-AVL2.0.3.12009.04.24-
Authentium5.1.2.42009.04.24W32/Rootkit-PX!Eldorado
Avast4.8.1335.02009.04.25Win32:Rootkit-gen
AVG8.5.0.2872009.04.25Win32/Heur
BitDefender7.22009.04.25Trojan.KillAV.PT
CAT-QuickHeal10.002009.04.25-
ClamAV0.94.12009.04.25-
Comodo11352009.04.25-
DrWeb4.44.0.091702009.04.25-
eSafe7.0.17.02009.04.23Suspicious File
eTrust-Vet31.6.64752009.04.24-
F-Prot4.4.4.562009.04.24W32/Rootkit-PX!Eldorado
F-Secure8.0.14470.02009.04.25-
Fortinet3.117.0.02009.04.25W32/Dropper.Q!tr
GData192009.04.25Trojan.KillAV.PT
IkarusT3.1.1.49.02009.04.25Trojan-PWS.Win32.Agent.jp
K7AntiVirus7.10.7162009.04.25-
Kaspersky7.0.0.1252009.04.25Trojan-Downloader.Win32.Geral.eu
McAfee55952009.04.24Generic Dropper.q
McAfee+Artemis55952009.04.24Generic!Artemis
McAfee-GW-Edition6.7.62009.04.25Trojan.Dldr.Geral.EU
Microsoft1.46022009.04.25Trojan:Win32/Dogrobot.F
NOD3240352009.04.25a variant of Win32/AntiAV.AZQ
Norman6.00.062009.04.24W32/Rootkit.XDV.dropper
nProtect2009.1.8.02009.04.25-
Panda10.0.0.142009.04.25Suspicious file
PCTools4.4.2.02009.04.25-
Prevx13.02009.04.25-
Rising21.26.52.002009.04.25Trojan.Win32.KillAV.bau
Sophos4.41.02009.04.25Mal/PWS-Fam
Sunbelt3.2.1858.22009.04.24-
Symantec1.4.4.122009.04.25Infostealer.Gampass
TheHacker6.3.4.1.3142009.04.25-
TrendMicro8.700.0.10042009.04.24Possible_Mlwr-13
VBA323.12.10.32009.04.24-
ViRobot2009.4.24.17082009.04.24-
VirusBuster4.6.5.02009.04.25-

4.26日样本依然卡巴、红伞免杀、大蜘蛛也没戏
文件 new.exe 接收于 2009.04.26 15:46:19 (CET)
当前状态: 完成
结果: 19/40 (47.50%)

格式化文本
打印结果



反病毒引擎版本最后更新扫描结果
a-squared4.0.0.1012009.04.26Trojan-PWS.Win32.Agent.jp!IK
AhnLab-V35.0.0.22009.04.26-
AntiVir7.9.0.1562009.04.25-
Antiy-AVL2.0.3.12009.04.24-
Authentium5.1.2.42009.04.25W32/Rootkit-PX!Eldorado
Avast4.8.1335.02009.04.25Win32:Rootkit-gen
AVG8.5.0.2872009.04.26Win32/Heur
BitDefender7.22009.04.26Trojan.KillAV.PT
CAT-QuickHeal10.002009.04.25-
ClamAV0.94.12009.04.26-
Comodo11352009.04.25-
DrWeb4.44.0.091702009.04.26-
eSafe7.0.17.02009.04.23Suspicious File
eTrust-Vet31.6.64752009.04.24-
F-Prot4.4.4.562009.04.25W32/Rootkit-PX!Eldorado
F-Secure8.0.14470.02009.04.25-
Fortinet3.117.0.02009.04.26-
GData192009.04.26Trojan.KillAV.PT
IkarusT3.1.1.49.02009.04.26Trojan-PWS.Win32.Agent.jp
K7AntiVirus7.10.7162009.04.25-
Kaspersky7.0.0.1252009.04.26-
McAfee55962009.04.25Generic Dropper.q
McAfee+Artemis55962009.04.25Generic!Artemis
McAfee-GW-Edition6.7.62009.04.26-
Microsoft1.46022009.04.26Trojan:Win32/Dogrobot.F
NOD3240352009.04.25a variant of Win32/AntiAV.AZQ
Norman6.00.062009.04.24W32/Rootkit.XDV.dropper
nProtect2009.1.8.02009.04.26-
Panda10.0.0.142009.04.26-
PCTools4.4.2.02009.04.26-
Prevx13.02009.04.26-
Rising21.26.62.002009.04.26Trojan.Win32.KillAV.bau
Sophos4.41.02009.04.26-
Sunbelt3.2.1858.22009.04.24Trojan.Rootkit.GEN
Symantec1.4.4.122009.04.26Infostealer.Gampass
TheHacker6.3.4.1.3142009.04.26-
TrendMicro8.700.0.10042009.04.25Possible_Mlwr-13
VBA323.12.10.32009.04.25suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot2009.4.24.17082009.04.24-
VirusBuster4.6.5.02009.04.25-
附加信息
File size: 42504 bytes
MD5...: 4f1f91928052bebdc010663f3151952f
SHA1..: a0def9660ad0ac5441d5fa3fba18d13dadf9fd8f
SHA256: f9233921a0b8aa2791f584cd81bbbc09c5c20bb47ed27c7c1f64bbe35842f76a
SHA512: 29e9645124aa42d16388df965f9c28174143ec208e96dfa4e94dd2b34e250bc5
08779c009434c47b22774e7f269bb487a3157db834d4f435efbc5dc0d8455598
ssdeep: 768:NqDBa85DYmUqNLMAlHswFKuiJTudHoFHpIcz6UYLi2TT4w0Pj6:UYoYmUSLM
OscKDJCdHCH/69ZT4I
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1be80
timedatestamp.....: 0x49f1b77d (Fri Apr 24 12:58:37 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13000 0xa000 0x9200 7.88 bc904694ccdce0e79ecaf920102e7c1a
.rsrc 0x1d000 0x1000 0x600 3.09 52ea5891c8b2ad2f4e8b5d77cf5248fe

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: OpenServiceA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX
packers (F-Prot): UPX


[ 本帖最后由 yhjtj 于 2009-4-26 22:34 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

黑衣~魂
发表于 2009-4-25 20:48:54 | 显示全部楼层
TO DW
回复

举报

jefffire
头像被屏蔽
发表于 2009-4-25 20:52:18 | 显示全部楼层
这个挂马的还不错。。。
回复

举报

syfwxmh
发表于 2009-4-25 20:56:37 | 显示全部楼层
卡巴不是报了吗
Kaspersky 7.0.0.125 2009.04.25 Trojan-Downloader.Win32.Geral.eu
回复

举报

wsmurderer
发表于 2009-4-25 21:00:37 | 显示全部楼层
用卡巴红伞的要小心了
2009-3-28 21:00:57    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\actvev.exe
目标: C:\WINDOWS\system32\killdll.dll
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*

2009-3-28 21:00:57    创建新进程    阻止
进程: c:\documents and settings\administrator\桌面\actvev.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\killdll.dll testall
规则: [应用程序]* -> [子应用程序]c:\windows\system32\rundll32.exe

2009-3-28 21:01:30    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\actvev.exe
目标: C:\WINDOWS\25803765_xeex.exe
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*

2009-3-28 21:01:30    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\actvev.exe
目标: C:\WINDOWS\system32\drivers\pcidump.sys
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]*; *.sys

2009-3-28 21:01:30    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
规则: [注册表组]自动运行 -> [注册表]HKEY_LOCAL_MACHINE\system\currentcontrolset\services*

2009-3-28 21:01:30    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
规则: [注册表组]自动运行 -> [注册表]HKEY_LOCAL_MACHINE\system\currentcontrolset\services*

2009-3-28 21:01:31    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\actvev.exe
目标: C:\WINDOWS\system32\scvhost.exe
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*
回复

举报

1626
发表于 2009-4-25 21:04:46 | 显示全部楼层
天哪,我的红伞竟然没报
回复

举报

saga3721
发表于 2009-4-25 21:05:44 | 显示全部楼层
'TR/Dldr.Geral.EU [trojan]'
回复

举报

haol
发表于 2009-4-25 21:07:45 | 显示全部楼层
單靠特徵碼的殺軟遲早要面對的問題
趁這機會更換防禦裝備!?
回复

举报

江湖的fans
发表于 2009-4-25 21:10:06 | 显示全部楼层
用瑞星 那是 真的 不怕


无论他怎么免杀 也过不了瑞星行为分析
回复

举报

江湖的fans
发表于 2009-4-25 21:18:30 | 显示全部楼层
这么坏
回复

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 06:00 , Processed in 0.134031 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表