Win32/Trojan.d77

rasis

Antivirus         Version         Last Update         Result
AhnLab-V3        2011.09.21.01        2011.09.21        Worm/Win32.FlyStudio
AntiVir        7.11.15.0        2011.09.21        -
Antiy-AVL        2.0.3.7        2011.09.21        -
Avast        4.8.1351.0        2011.09.18        -
Avast5        5.0.677.0        2011.09.18        -
AVG        10.0.0.1190        2011.09.21        -
BitDefender        7.2        2011.09.21        -
ByteHero        1.0.0.1        2011.09.13        -
CAT-QuickHeal        11.00        2011.09.21        -
ClamAV        0.97.0.0        2011.09.21        -
Commtouch        5.3.2.6        2011.09.21        W32/FlyStudio.A.gen!Eldorado
Comodo        10190        2011.09.21        -
DrWeb        5.0.2.03300        2011.09.21        -
Emsisoft        5.1.0.11        2011.09.21        -
eSafe        7.0.17.0        2011.09.20        -
eTrust-Vet        36.1.8573        2011.09.21        -
F-Prot        4.6.2.117        2011.09.21        W32/FlyStudio.A.gen!Eldorado
F-Secure        9.0.16440.0        2011.09.21        Trojan:W32/Agent.DQOD
Fortinet        4.3.370.0        2011.09.21        -
GData        22        2011.09.21        -
Ikarus        T3.1.1.107.0        2011.09.21        -
Jiangmin        13.0.900        2011.09.21        -
K7AntiVirus        9.113.5168        2011.09.20        Riskware
Kaspersky        9.0.0.837        2011.09.21        -
McAfee        5.400.0.1158        2011.09.21        -
McAfee-GW-Edition        2010.1D        2011.09.21        -
Microsoft        1.7604        2011.09.21        -
NOD32        6481        2011.09.21        a variant of Win32/Packed.FlyStudio
Norman        6.07.11        2011.09.21        -
nProtect        2011-09-21.02        2011.09.21        -
Panda        10.0.3.5        2011.09.20        -
PCTools        8.0.0.5        2011.09.21        -
Prevx        3.0        2011.09.21        -
Rising        23.76.02.03        2011.09.21        -
Sophos        4.69.0        2011.09.21        Mal/PWSDLL-B
SUPERAntiSpyware        4.40.0.1006        2011.09.21        -
Symantec        20111.2.0.82        2011.09.21        -
TheHacker        6.7.0.1.303        2011.09.21        -
TrendMicro        9.500.0.1008        2011.09.21        -
TrendMicro-HouseCall        9.500.0.1008        2011.09.21        -
VIPRE        10541        2011.09.21        Trojan.Win32.Autorun.dm (v)
ViRobot        2011.9.21.4681        2011.09.21        -
VirusBuster        14.0.223.0        2011.09.20        -


http://3721up.com/2xl2

bbs2811125

看到FS报了我就不测了
原来那个命名是FS自己引擎的报法哈，之前上报了一个样本也是这个引擎报了

hddu

2011-09-21 22:54:42    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\qqhao_3[1].1\qqhao\QQ靓号申请器一起牛辅助v3.1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.2889.net/?gj
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

bbs2811125

从报法上来看难道FP和ESET有交换病毒库么？如果有的话FP的检测率怎么还那么惨淡……

hx1997

bbs2811125 发表于 2011-9-21 22:59
从报法上来看难道FP和ESET有交换病毒库么？如果有的话FP的检测率怎么还那么惨淡……

都是报壳而已，这个不用交换病毒库吧

bbs2811125

hx1997 发表于 2011-9-21 23:03
都是报壳而已，这个不用交换病毒库吧

看不懂报法，只是看到名字基本完全一样=.=

留侯

大蜘蛛clean，文件加了壳：
qqhao_3.1\QQ靓号申请器一起牛辅助v3.1.exe 已打包，方式： UPX
qqhao_3.1\QQ靓号申请器一起牛辅助v3.1.exe 已打包，方式： BINARYRES
qqhao_3.1\QQ靓号申请器一起牛辅助v3.1.exe 已打包，方式： FLYSFX
qqhao_3.1\QQ靓号申请器一起牛辅助v3.1.exe - 压缩文件 BINARYRES

鉴于修改了首页，已上报求真相。