"Av_DVD.DLL"会导致QQ空间会自动发表、转载、分享XXOO日志吗？

显示全部楼层 · 发表于 2011-11-18 21:10:55

本帖最后由 laiyifei 于 2011-11-18 21:12 编辑

今天发现在某台电脑等过QQ空间后，电脑会自动发表、转载、分享XXOO日志！这个 "Av_DVD.DLL"是不是凶手？

以下链接是我在毒霸论坛的帖子：
点击这里查看我在毒霸论坛的帖子。帖子，官人不给分析，求高手分析！

等了很久等不到官人的答复，在此求卡饭高手分析。

显示全部楼层 · 发表于 2011-11-18 21:31:40

本帖最后由小狐狸美美于 2011-11-18 21:37 编辑

加壳了，多半不是好东西。

显示全部楼层 · 发表于 2011-11-18 21:34:54

小狐狸美美发表于 2011-11-18 21:31
加壳了，多半不是好东西。

高手，能分析出来吗？

显示全部楼层 · 发表于 2011-11-18 21:45:15

已经报毒了啊

显示全部楼层 · 发表于 2011-11-18 21:58:39

qwe12301 发表于 2011-11-18 21:45
已经报毒了啊

重点不是有没报毒，我想知道是不是它导致的问题？

显示全部楼层 · 发表于 2011-11-18 22:11:44

小狐狸美美发表于 2011-11-18 21:31
加壳了，多半不是好东西。

你的图片被水印挡住了。能不能给张完整的图片。

显示全部楼层 · 发表于 2011-11-19 10:18:41

手里没有工具。网上看了一下：
Trojan.DownLoader4.61950
Added to Dr.Web virus database: 2011-09-25

Technical Information
To ensure autorun and distribution:
Creates or modifies the following files:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\winlogon.exe
Malicious functions:
Creates and executes the following:
%CommonProgramFiles%\Microsoft Shared\Av_AuTo.dll
%CommonProgramFiles%\Microsoft Shared\services.exe
%CommonProgramFiles%\Microsoft Shared\Av_DVD.dll
Executes the following:
<SYSTEM32>\cmd.exe /c mybat.bat
Modifies file system :
Creates the following files:
%CommonProgramFiles%\Microsoft Shared\Av_bind.au
%CommonProgramFiles%\Microsoft Shared\Av_AuTo.dll
%CommonProgramFiles%\Microsoft Shared\Av_AuTo.ocx
<Current directory>\mybat.bat
%CommonProgramFiles%\Microsoft Shared\Av_TT.dll
%CommonProgramFiles%\Microsoft Shared\Av_Tj.ocx
%CommonProgramFiles%\Microsoft Shared\Av_Dw.ocx
%CommonProgramFiles%\Microsoft Shared\Av_DVD.dll
%CommonProgramFiles%\Microsoft Shared\Av_Dvd.ocx
%TEMP%\QvodSetupPlus4.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\QvodSetupPlus4[1].exe
%CommonProgramFiles%\Microsoft Shared\services.exe
Deletes the following files:
%CommonProgramFiles%\Microsoft Shared\Av_AuTo.ocx
%CommonProgramFiles%\Microsoft Shared\Av_Dw.ocx
%CommonProgramFiles%\Microsoft Shared\Av_Dvd.ocx
Network activity:
Connects to:
'dl.##aibo.com':80
'dl.##ayvcd.net':8
TCP:
HTTP GET requests:
dl.##aibo.com/QvodSetupPlus4.exe
UDP:
DNS ASK dl.##aibo.com
DNS ASK dl.##ayvcd.net
Miscellaneous:
Searches for the following windows:
ClassName: 'Shell_TrayWnd' WindowName: ''

from：http://vms.drweb.com/virus/?i=1444076&lng=en

显示全部楼层 · 发表于 2011-11-19 23:05:20

Mr.Coder 发表于 2011-11-19 10:18
手里没有工具。网上看了一下：
Trojan.DownLoader4.61950
Added to Dr.Web virus database: 2011-09-25 ...

我看不懂这些英文是真么意思，我想知道是不是它导致的问题。

显示全部楼层 · 发表于 2011-11-19 23:15:10

laiyifei 发表于 2011-11-19 23:05
我看不懂这些英文是真么意思，我想知道是不是它导致的问题。

此马被定义为下载者.
整个分析报告没有讲对QQ空间有什么影响.
不过,现在让用户电脑中毒不容易,一旦中下载者,一般倾向于继续整成毒窝.

显示全部楼层 · 发表于 2011-11-19 23:35:48

Mr.Coder 发表于 2011-11-19 23:15
此马被定义为下载者.
整个分析报告没有讲对QQ空间有什么影响.
不过,现在让用户电脑中毒不容易,一旦中下 ...

我大概猜是怎么回事了，估计是这个下载者下载病毒，然后感染了“简单百宝箱”，导致登陆空间会自动发表、转载日志。

[金山] "Av_DVD.DLL"会导致QQ空间会自动发表、转载、分享XXOO日志吗？

本帖子中包含更多资源

本帖子中包含更多资源