精睿论坛样本测试（9.21）

619875192

样本地址:http://www.vdisk.cn/down/index/8872140A7063

               http://3721up.com/2waf

样本密码：老纳开始吃素了

样本数量：30

Kevin_Memo

MSE Miss 11X

Mr.Tong

360WS kill 21X

seehere

金山留下10个

rasis

360  23X

扫描结果
======================
病毒扫描结果
----------------------
D:\DOWNLOAD\921\921\1        间谍程序(Win32/Trojan.Spy.3b6)        已删除
D:\DOWNLOAD\921\921\11        木马(Win32/Trojan.Generic.671)        已删除
D:\DOWNLOAD\921\921\111        木马(Win32/Trojan.Generic.bc6)        已删除
D:\DOWNLOAD\921\921\12        蠕虫病毒(Win32/Worm.P2P-Worm.c65)        已删除
D:\DOWNLOAD\921\921\1234        木马(Win32/Trojan.28f)        已删除
D:\DOWNLOAD\921\921\13        木马(Win32/Trojan.Spy.86f)        已删除
D:\DOWNLOAD\921\921\14        木马(Win32/Trojan.BO.f46)        已删除
D:\DOWNLOAD\921\921\213        恶作剧程序(Win32/Joke.12d)        已删除
D:\DOWNLOAD\921\921\4rt        木马(Win32/Trojan.2ff)        已删除
D:\DOWNLOAD\921\921\69        木马(Script/Trojan.2fc)        已删除
D:\DOWNLOAD\921\921\88        广告程序(Win32/Trojan.Adware.070)        已删除
D:\DOWNLOAD\921\921\dd        木马(Win32/Joke.d8e)        已删除
D:\DOWNLOAD\921\921\ee        木马(Win32/Trojan.89c)        已删除
D:\DOWNLOAD\921\921\ghj        木马(Win32/Trojan.8b1)        已删除
D:\DOWNLOAD\921\921\Q        木马(Win32/Trojan.06b)        已删除
D:\DOWNLOAD\921\921\q1        木马(Win32/Trojan.dec)        已删除
D:\DOWNLOAD\921\921\rt        木马(Win32/Trojan.38c)        已删除
D:\DOWNLOAD\921\921\s        木马(Win32/Trojan.034)        已删除
D:\DOWNLOAD\921\921\we        垃圾型程序(Win32/Trojan.2ff)        已删除
D:\DOWNLOAD\921\921\zzz        后门木马(Win32/Backdoor.ec6)        已删除
D:\DOWNLOAD\921\921\a        行为和木马比较相似的程序        已删除
D:\DOWNLOAD\921\921\hh        行为和木马比较相似的程序        已删除
D:\DOWNLOAD\921\921\jpg        行为和木马比较相似的程序        已删除

文件信息
文件名称：D:\DOWNLOAD\921\921\23
文件大小：
265 Kb
内部名称：
无内部名称
文件签名：
无文件签名信息
文件描述：
是一个安全的文件
文件MD5：
8eb1e2ee5dbace5932ea47c6925cfe93

文件信息
文件名称：D:\DOWNLOAD\921\921\aa
文件大小：
310 Kb
内部名称：
Screen Mate Poo
文件签名：
无文件签名信息
文件描述：
是一个安全的文件
文件MD5：
da2300cfb2a1ddb6b85d26447b1be477

文件信息
文件名称：D:\DOWNLOAD\921\921\zx
文件大小：
327 Kb
内部名称：
urlcore.exe
文件签名：
无文件签名信息
文件描述：
经人工鉴定是一个暂无风险的文件
文件MD5：
d4a4857f7c297e5349b94d4ab589a5de

321 、2343、b、xx、转人工

留侯

大蜘蛛发现18个：


921\12 已感染：  BackDoor.IRC.Bot.961
921\1234 已感染：  Win32.HLLW.Siggen.1720
921\14 已感染：  Trojan.MulDrop2.42322
921\23 是恶作剧程序 Joke.Drunk
921\88 已打包，方式： PECOMPACT
921\88 已感染：  Trojan.MulDrop2.56290
921\4rt 已感染：  BackDoor.Qbot.75
921\69 已感染：  Trojan.Siggen3.8634
921\a 已感染：  Trojan.DownLoader2.29439
921\dd 是恶作剧程序 Joke.Bugs.1
921\ghj 已感染：  Trojan.DownLoader4.53471
921\hh 已感染：  Trojan.DownLoader4.16031
921\jpg 已感染：  Trojan.PWS.Banker.59586
921\Q 已打包，方式： UPX
921\Q 已感染：  Trojan.PWS.Gamania.30601
921\q1 已打包，方式： BINARYRES
921\q1 是广告软件 Adware.Siggen.19223
21\rt 是恶作剧程序 Joke.Dollars
921\s 已打包，方式： BINARYRES
921\s 已感染：  BackDoor.Siggen.37314
921\we 已打包，方式： ASPACK
921\we 是风险程序 Program.HandyLogger
921\zzz 已打包，方式： UPX
921\zzz 已感染：  Trojan.KillFiles.8196

余下12个，部分文件加了壳：


921\1 已打包，方式： ASPROTECT
921\1 - 压缩文件 BINARYRES
921\11 已打包，方式： BINARYRES
921\111 已打包，方式： ZLIB
921\111 - 压缩文件 BINARYRES
921\b - 压缩文件 BINARYRES
921\b/data001 已打包，方式： ZLIB
921\b/data001 - 压缩文件 BINARYRES
921\b/data002 已打包，方式： ZLIB
921\b/data002 - 压缩文件 BINARYRES
921\xx 已打包，方式： ZLIB
921\xx - 压缩文件 BINARYRES
921\zx 已打包，方式： UPX
921\zx - 压缩文件 BINARYRES
921\zx/data003 已打包，方式： XOREXE
921\zx/data003 已打包，方式： FLY-CODE

余下已上报！

zhen2zhen

GDATA  KILL25     haha  
kaba 敢來挑戰麼?

hx1997

ESET killed 19×, missed 11×.

第一次看见ESET报玩笑程序。

C:\Users\Gateway\Desktop\921\1 - Win32/Spy.Banker.WNX 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\11 - Win32/Agent.TBO 特洛伊木马 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\1234 - MSIL/Packed.CodeVeil.A 潜在的不受欢迎应用程序 的变种 - 扫描完成后再选择处理方式
C:\Users\Gateway\Desktop\921\14 - Win32/PSW.Fignotok.B 特洛伊木马 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\213 - 可能是 Win32/Agent.GZODBMX 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\4rt - Win32/Spy.Zbot.YW 特洛伊木马 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\69 - IRC/SdBot 特洛伊木马 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\88 - Win32/Adware.WSearch.AJ 应用程序 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\a - Win32/Kryptik.JAG 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\dd - 可能是 Win32/Agent.KTIZLAV 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\ee - 可能是 Win32/Agent.NKBSEPI 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\ghj - Win32/PSW.FakeMSN.NBM 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\hh - 可能是 Win32/Spy.Banker.WCB 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\jpg - Win32/Spy.Banker.WCB 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\Q - Win32/PSW.OnLineGames.PUH 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\q1 - Win32/Adware.GabPath.CH 应用程序 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\s - Win32/ServStart.AD 特洛伊木马 的变种 - 通过删除清除 - 已隔离
C:\Users\Gateway\Desktop\921\we - Win32/Bounce 玩笑程序 - 扫描完成后再选择处理方式
C:\Users\Gateway\Desktop\921\zzz > UPX v13_m14 > BAT2EXE > Visualizar.bat - BAT/Obfuscated.A 特洛伊木马
C:\Users\Gateway\Desktop\921\zzz - BAT/Obfuscated.A 特洛伊木马 - 扫描完成后再选择处理方式
C:\Users\Gateway\Desktop\921\1234 - MSIL/Packed.CodeVeil.A 潜在的不受欢迎应用程序 的变种 - 已删除 - 已隔离
C:\Users\Gateway\Desktop\921\we - Win32/Bounce 玩笑程序 - 已删除 - 已隔离
C:\Users\Gateway\Desktop\921\zzz > UPX v13_m14 > BAT2EXE > Visualizar.bat - BAT/Obfuscated.A 特洛伊木马 - 是已删除对象的一部分
C:\Users\Gateway\Desktop\921\zzz - BAT/Obfuscated.A 特洛伊木马 - 已删除 - 已隔离

好多白文件啊有木有


剔除白文件，余下6×上报。

http://samples.nod32.com.hk/inde ... 5a346d9126532f2b454