一只针对红伞的病毒[MD5: 46CF03]

zane_xzz

生成的其中一个文件会结束红伞avguard.exe avgnt.exe两个进程，并联网

tracydk

Starting the file scan:

Begin scan in 'F:\病毒样本\NRec.zip'
F:\病毒样本\NRec.zip
  [0] Archive type: ZIP
  --> NRec.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was deleted!

风野胤

扫描日志
NOD32版本 2408 (20070719) NT
命令行： C:\Documents and Settings\user\桌面\NRec.zip
正在检查NOD32.EXE文件的CRC：状态正常
d:\Program Files\Eset\nod32.exe - 是正常的
扫描系统内存中：没有进行 (选项已关闭)
1 的MBR区.物理磁盘是正常的.
扫描物理磁盘 1 的启动引导区时发生错误. 读取磁区时发生错误. ?
?读取磁区时发生错误.读取磁区时发生错误.读取磁区时发生错误.
日期： 20.7.2007  时间：08:21:44
已开启反隐藏功能.
已扫描的磁盘，文件夹及文件：C:\Documents and Settings\ ?
?user\桌面\NRec.zip
C:\Documents and Settings\user\桌面\NRec.zip >>ZIP >>NRec. ?
?exe - Win32/TrojanDropper.Agent.AWK 木马的变种
已扫描的文件数目：1
已发现的病毒数目：1
完成时间： 08:21:45 总扫描时间：1 秒 (00:00:01)

tracydk

A-Squared  Found nothing
AntiVir  Found HEUR/Malware  
ArcaVir  Found nothing
Avast  Found nothing
AVG Antivirus  Found Generic5.QDY  
BitDefender  Found nothing
ClamAV  Found Trojan.Dropper-170  
CPsecure  Found nothing
Dr.Web  Found Trojan.DownLoader.17378  
F-Prot Antivirus  Found nothing
F-Secure Anti-Virus  Found Trojan.Win32.Agent.acw  
Fortinet  Found nothing
Kaspersky Anti-Virus  Found Trojan.Win32.Agent.acw  
NOD32  Found a variant of Win32/TrojanDropper.Agent.AWK  
Norman Virus Control  Found Smalltroj.gen4  
Panda Antivirus  Found nothing
Rising Antivirus  Found Trojan.Agent.fwk  
Sophos Antivirus  Found nothing
VirusBuster  Found Trojan.DR.Agent.ACW.Gen  
VBA32  Found nothing

tracydk

这个CPSECURE是什么杀软??没见过

tonylee

CP Secure成立于2002年，由前趋势执行副总裁 David Lu（吕鸿武）和研发总监Shuang Ji（季爽）共同创立。公司总部位于美国加州，在欧洲、中国大陆和台湾等地均设有分支机构。CP Secure拥有全球顶尖的信息安全专家，专注于专业内容安全网关的研发、生产、销售、服务和咨询，其Content Security Gateway   (简称CSG)和WormSecure(简称WS)系列安全网关，采用了多项自主拥有的专利技术，引领安全网关的技术潮流，可为用户提供高性能、高可靠性、高性价比的内、外网安全解决方案。CP Secure专门在中国大陆设立了强大的研发和技术支持中心，可为中国用户提供最适和的产品和最快捷的技术支持。

woai_jolin

===================================================================================================
NVCOD On Demand Scanner 5.80.02

NSE revision 5.91.02
nvcbin.def revision 5.90.00 of 2007/07/19 17:24:52 (812833 variants)
nvcmacro.def revision 5.90.00 of 2007/06/29 06:32:19 (20341 variants)
Total number of variants: 833174
Command line: "@C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~OD8.tmp"
===================================================================================================

       Time  Filename                                                     Virus name
---------------------------------------------------------------------------------------------------
- Scanning files matching: F:\v\NRec.zip
       16 ms F:\v\NRec.zip : NRec.exe                                     Trojan Smalltroj.gen4 ()
        0 ms F:\v\NRec.zip                                               
        0 ms F:\v\NRec.zip:Zone.Identifier                              
- File F:\v\NRec.zip quarantined.

===================================================================================================

The scanning started: 2007/07/20 08:51:47
               ended: 2007/07/20 08:51:47
Logged on as        : Administrator
on hostname         : BE29C0E1C4C9406

Scanning results:
   Total number of files found..............................:       3
   Number of files scanned..................................:       3
   Number of files/directories skipped due to exclude list..:       0
   Number of files that could not be opened.................:       0
   Number of archive files unpacked.........................:       1
   Number of archive files not unpacked.....................:       0
   Number of infections.....................................:       1

Copyright (c) 1993-2005 Norman ASA.

只爱宠儿

是个捆绑器``

主程序没问题

应该是国外的

运行后释放

C:\WINNT\system32\directx.exe  58880 字节, A

VC编写

C:\WINNT\tools\explorer.exe 126976 字节, A

都是VC,无壳``

正面连接69.25.212.153  63.81.164.5  204.13.161.121

注册系统服务:

DirectSupk




典型的后门,怎么有的报Dropper

woai_jolin

原帖由 只爱宠儿 于 2007-7-20 09:12 发表
是个捆绑器``

主程序没问题

应该是国外的

运行后释放

C:\WINNT\system32\directx.exe  58880 字节, A

VC编写

C:\WINNT\tools\explorer.exe 126976 字节, A

都是VC,无壳``

正面连接69.2 ...

有些会乱报

woai_jolin

2007/7/20 10:10:50        Scanning Log
2007/7/20 10:10:50        Version of virus signature database: 2408 (20070719)
2007/7/20 10:10:50        Date: 20.7.2007  Time: 10:10:50
2007/7/20 10:10:50        Scanned disks, folders and files: F:\v\
2007/7/20 10:10:50        F:\v\NRec.zip - a variant of Win32/TrojanDropper.Agent.AWK trojan - deleted - quarantined
2007/7/20 10:10:50        F:\v\NRec.zip » ZIP » NRec.exe - a variant of Win32/TrojanDropper.Agent.AWK trojan
2007/7/20 10:10:50        Number of scanned files: 2
2007/7/20 10:10:50        Number of threats found: 1
2007/7/20 10:10:50        Time of completion: 10:10:50  Total scanning time: 0 sec (00:00:00)