有样本~~MSN新毒"很多掛"[EF2E00]

显示全部楼层 · 发表于 2007-8-1 06:57:23

Nod32飘过~

显示全部楼层 · 发表于 2007-8-1 07:07:08

显示全部楼层 · 发表于 2007-8-1 08:43:54

瑞星挂

显示全部楼层 · 发表于 2007-8-1 09:11:10

運行IMG34814.pif，發現下列行為，被EQ-Secure RC4攔截！

2007-08-01 09:08:05 运行应用程序操作:允许
进程路径:D:\desktop\virus\pic\IMG34814.pif
文件路径:D:\desktop\virus\pic\IMG34814.pif
触发规则:所有程序规则->*

2007-08-01 09:08:07 修改其它进程内存操作:允许
进程路径:D:\desktop\virus\pic\IMG34814.pif
目标进程:D:\desktop\virus\pic\IMG34814.pif
触发规则:所有程序规则->*

1.它會運行自己
2.它會修改自己的进程内存

显示全部楼层 · 发表于 2007-8-1 10:02:41

显示全部楼层 · 发表于 2007-8-1 10:15:15

已检测: 木马程序 Trojan.Win32.Delf.ads 文件: C:\Documents and Settings\admin\桌面\pic.zip/IMG34814.pif

卡吧

显示全部楼层 · 发表于 2007-8-1 11:08:18

SRENG2.5日志可见：
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Microsoft Genuine Logon><msnmsg.exe> []

==================================
正在运行的进程

[PID: 2296][C:\windows\msnmsg.exe] [N/A, ]

==================================

特殊特权被允许： SeLoadDriverPrivilege [PID = 2296, C:\WINDOWS\MSNMSG.EXE]

——————
结束进程C:\WINDOWS\MSNMSG.EXE
删除C:\WINDOWS\MSNMSG.EXE和C:\WINDOWS\PIC.RAR
删除启动项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Genuine Logon
完事。

显示全部楼层 · 发表于 2007-8-1 11:52:25

norman pass

显示全部楼层 · 发表于 2007-8-1 13:32:33

某些卡巴的“子公司”比较受益

显示全部楼层 · 发表于 2007-8-1 14:20:21

原帖由 a256886572008 于 2007-8-1 09:11 发表
運行IMG34814.pif，發現下列行為，被EQ-Secure RC4攔截！

1.它會運行自己
2.它會修改自己的进程内存

仅此而已？没有其它行为？

[病毒样本] 有样本~~MSN新毒"很多掛"[EF2E00]

本帖子中包含更多资源

本帖子中包含更多资源