免杀威金一个[MD5: A3C05E]

promised

[ 本帖最后由 promised 于 2007-6-23 19:43 编辑 ]

欠妳緈諨

AVAST飘。但还是敌不过壳王
Begin scan in 'D:\病毒测试\未解压\1.rar'
D:\病毒测试\未解压\1.rar
  [0] Archive type: RAR
  --> 1.exe
      [DETECTION] Contains suspicious code HEUR/Crypted
      [WARNING]   The file was ignored!

Whkroran

卡7 。。。。。。。上报

promised

Service load:	0%       100%
File:	1.exe
Status:	POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
MD5:	a3c05e27417b9620256f2ae1f4d63840
Packers detected:	-
Bit9 reports:	File not found
Scanner results
Scan taken on 23 Jun 2007 11:38:56 (GMT)
A-Squared	Found nothing
AntiVir	Found HEUR/Crypted
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found nothing
ClamAV	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Fortinet	Found nothing
Kaspersky Anti-Virus	Found nothing
NOD32	Found nothing
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Rising Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

小邪邪

咖啡：无视加壳，咱就是扔掉病毒库也不怕它  

allenhippo

g:\virus\sample\1.rar:\1.exe - bedenkliche Programmsequenz gefunden (Level: 160)

wangjay1980

什么壳？

a256886572008

運行1.exe，發現下列行為，被EQ-Secure RC2攔截！

2007-06-23 19:52:12    运行应用程序      操作:允许
进程路径:C:\windows\Explorer.EXE
文件路径:D:\桌面\virus\A3C05E1\1.exe
规则:应用程序规则->系統程序->%windir%\Explorer.EXE


2007-06-23 19:52:12    修改文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\system32\drivers\etc\hosts
规则:黑名单->需要保護的系統文件->%WinDir%\system32\drivers\etc\hosts


2007-06-23 19:52:13    运行应用程序      操作:允许(自动创建规则)
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\system32\net.exe
命令行:stop "Kingsoft AntiVirus Service"


2007-06-23 19:52:15    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\uninstall\
规则:所有程序规则->2.1.3组：保護部分重要的文件和文件夾->%SystemDrive%\*


2007-06-23 19:52:15    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\windows\system32\net.exe
文件路径:C:\windows\system32\conime.exe


2007-06-23 19:52:15    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\uninstall\rundl132.exe
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-06-23 19:52:15    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:D:\桌面\virus\A3C05E1\1.exe.exe
规则:所有程序规则->2.1.5组：限制部份高危格式文件和文件夹的操作->*.exe


2007-06-23 19:52:16    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\RichDll.dll
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-06-23 19:52:17    修改文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\windows\system32\drivers\etc\hosts
规则:黑名单->需要保護的系統文件->%WinDir%\system32\drivers\etc\hosts


2007-06-23 19:52:19    修改其它进程内存      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
目标进程:C:\windows\Explorer.EXE
规则:所有程序规则->系統程序->%windir%\explorer.exe


2007-06-23 19:52:20    修改其它进程内存      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
目标进程:C:\windows\Explorer.EXE
规则:所有程序规则->系統程序->%windir%\explorer.exe


2007-06-23 19:52:21    结束/挂起线程      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
目标进程:C:\windows\Explorer.EXE
规则:所有程序规则->*


2007-06-23 19:52:22    修改其它进程内存      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
目标进程:C:\windows\Explorer.EXE
规则:所有程序规则->系統程序->%windir%\explorer.exe


2007-06-23 19:52:46    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:C:\_desktop.ini
规则:所有程序规则->2.1.3组：保護部分重要的文件和文件夾->%SystemDrive%\*


2007-06-23 19:54:49    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:\\140.114.212.24\IPC$
规则:所有程序规则->全局設置_普通模式->*.*


2007-06-23 19:56:05    创建文件      操作:阻止
进程路径:D:\桌面\virus\A3C05E1\1.exe
文件路径:\\140.114.212.37\IPC$
规则:所有程序规则->全局設置_普通模式->*.*

1.他會修改C:\windows\system32\drivers\etc\hosts
2.他會運行net.exe
   stop "Kingsoft AntiVirus Service"
3.他會利用net.exe運行conime.exe
4.他會在C:\windows\uninstall\產生
   rundl132.exe
5.他會在他旁邊產生1.exe.exe
6.他會在C:\windows\產生
   RichDll.dll
7.他會修改Explorer.EXE的进程内存
8.他會结束/挂起Explorer.EXE的线程
9.他會在C:\產生
   _desktop.ini
10.他會產生
    \\140.114.212.24\IPC$
    \\140.114.212.37\IPC$

samancy

费尔!

蓝色牛仔裤

原帖由 wangjay1980 于 2007-6-23 19:51 发表
什么壳？

我也很想知道啊。。Promises快說～
蜘蛛似乎探测不到这个壳。。
但红伞和费尔却知道了。。。