IRC bot

显示全部楼层 · 发表于 2011-10-10 19:56:42

大蜘蛛：
uaa.exe infected with BackDoor.IRC.Bot.911

显示全部楼层 · 发表于 2011-10-10 20:46:51

bbs2811125 发表于 2011-10-10 19:19
vt只有大蜘蛛报，毛豆是云？

@1 才是雲

@一堆亂碼是本地庫

显示全部楼层 · 发表于 2011-10-10 20:48:22

ADSLgg 发表于 2011-10-10 19:33
忘记了，还有启发。。云，主防，启发都要给力

現在很多殺軟，啟發，有開和沒開，結果差異不大。

显示全部楼层 · 发表于 2011-10-10 20:52:57

哎，又过了金山猎豹了，360又杀了。金山的查杀还是差一点啊。。。。。

显示全部楼层 · 发表于 2011-10-10 21:07:19

毒霸鉴定安全，什么不报，运行K+拦截

显示全部楼层 · 发表于 2011-10-10 21:46:22

动作好多啊，nis2012 sonar杀

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/10/10 ( 21:43:07 )
上次使用时间 2011/10/10 ( 21:43:07 )
启动项目是
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe

创建的文件:
uaa.exe

创建的文件:
rbbybp.exe
____________________________
文件操作
受感染文件: c:\users\sshss\appdata\roaming\rbbybp.exe
已删除
受感染文件: c:\users\sshss\downloads\uaa\uaa.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Run->Rbbybp
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\appdata\roaming\rbbybp.exe, PID:9032)
未采取操作
事件: PE 文件创建: c:\users\sshss\appdata\local\temp\ajaaski2144b1ad4syq.tmp (Performed by c:\users\sshss\downloads\uaa\uaa.exe, PID:8880)
未采取操作
事件: 进程启动 (Performed by c:\users\sshss\downloads\uaa\uaa.exe, PID:8880)
未采取操作
事件: PE 文件创建: c:\users\sshss\appdata\roaming\rbbybp.exe (Performed by c:\users\sshss\downloads\uaa\uaa.exe, PID:6604)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (Performed by c:\users\sshss\downloads\uaa\uaa.exe, PID:8880)
未采取操作
事件: 尝试在进程地址空间内启动远程线程 (Performed by c:\users\sshss\downloads\uaa\uaa.exe, PID:6604)
未采取操作
____________________________
文件指纹 - SHA:
4107ca25f7228c0aa5407b528fa6d48d10734c4ae72088a78857f77c8e289910
____________________________
文件指纹 - MD5:
120cb6528cd6cd5d87c8091b549141e0
____________________________

显示全部楼层 · 发表于 2011-10-10 22:22:56

2011-10-10 22:17:48   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   直接显示器访问, 可疑病毒
2011-10-10 22:17:57   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\Local Settings\Temp\ajaaski2144b1ad4syQ.tmp
2011-10-10 22:18:00   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   创建进程, 可疑病毒   C:\Documents and Settings\Administrator\桌面\test\uaa.exe
2011-10-10 22:18:10   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件   \Device\NamedPipe\lsarpc
2011-10-10 22:18:12   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件, 可疑病毒   \Device\KsecDD
2011-10-10 22:18:15   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\Local Settings\Temp\ajaaski2144b1ad4syQ.tmp
2011-10-10 22:18:28   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改注册表项   HKUS\S-1-5-21-823518204-1202660629-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-10 22:18:28   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\桌面\test\uaa.exe
2011-10-10 22:18:32   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe
2011-10-10 22:18:38   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   创建进程, 可疑病毒   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe
2011-10-10 22:18:44   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   修改注册表项   HKUS\S-1-5-21-823518204-1202660629-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\Twuiub
2011-10-10 22:18:44   C:\Documents and Settings\Administrator\桌面\test\uaa.exe   访问内存   C:\WINDOWS\explorer.exe
2011-10-10 22:19:00   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   直接显示器访问, 可疑病毒
2011-10-10 22:19:07   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   直接显示器访问
2011-10-10 22:19:07   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\Local Settings\Temp\ajaaski2144b1ad4syQ.tmp
2011-10-10 22:19:09   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   创建进程, 可疑病毒   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe
2011-10-10 22:19:12   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件, 可疑病毒   \Device\KsecDD
2011-10-10 22:19:14   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   创建进程, 可疑病毒   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe
2011-10-10 22:19:17   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件, 可疑病毒   \Device\KsecDD
2011-10-10 22:19:19   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件, 可疑病毒   C:\Documents and Settings\Administrator\Local Settings\Temp\ajaaski2144b1ad4syQ.tmp
2011-10-10 22:19:22   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件   \Device\NamedPipe\lsarpc
2011-10-10 22:19:28   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改注册表项   HKUS\S-1-5-21-823518204-1202660629-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2011-10-10 22:19:28   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   修改文件   \Device\NamedPipe\lsarpc
2011-10-10 22:19:28   C:\Documents and Settings\Administrator\Application Data\Twuiub.exe   访问内存   System

显示全部楼层 · 发表于 2011-10-11 08:01:18

ADSLgg 发表于 2011-10-10 19:04
红伞miss，to

更新后7.11.15.204
仍不可杀

显示全部楼层 · 发表于 2011-10-11 12:38:08

郑伟用户发表于 2011-10-10 21:07
毒霸鉴定安全，什么不报，运行K+拦截

现在运行就直接杀母体了，金山

显示全部楼层 · 发表于 2011-10-11 12:59:27

wuyongliang 发表于 2011-10-11 12:38
现在运行就直接杀母体了，金山

这玩意儿一旦要中了，什么金山，什么360急救箱，全歇菜，开机explorer就联网，查不到原因

[病毒样本] IRC bot

本帖子中包含更多资源