若干木马变种样本

barneyhe

公司内网办公电脑，WIN2K＋趋势防毒墙网络版＋公司内部代理上外网，近期作为公共上网查资料用

杀毒前系统偶尔无法正常关机，从开始菜单关机无反应，跟没点关机一样，趋势没报病毒。
ie完全关闭后仍发现有iexplore进程，且无法结束，怀疑中毒，便禁用了趋势，安装nod32，升级及22号病毒库。

查杀后在system32及drivers目录下发现四个病毒
system32下：
   4x4vcqxq.dll
   awttqon.dll
   ddcca.dll
system32/drivers下：
   sofaj.sys

但不能即时清除，提示重启后删除，然而重启后仍然存在。
后来在maxdos的纯DOS环境下将其删除，第一个使用del正常删除，后三个必须使用del提示“将删除目录下所有文件”，确认后提示“未找到文件”，是否病毒本为文件夹而只是命名为系统文件以伪装？deltree后正常删除。

此后系统关机问题目前尚未重现。


PS：用IE6.0打开FTP站点便报系统错误，IE崩溃。使用我的电脑打开FTP站则没问题。原因不明。。。


四个病毒样本：

残缺的唯美

--> 4X4VCQXQ.DLL
      [DETECTION] Contains suspicious code HEUR/Malware
  --> AWTTQON.DLL
      [DETECTION] Is the Trojan horse TR/Vundo.Gen
  --> DDCCA.DLL
      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
  --> SOFAJ.SYS
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
      [INFO]      A backup was created as '473ee951.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!

红心王子

江民杀毒软件报告文件

        北京江民新科技术有限公司

        扫描引擎 11.00.700
        病毒库日期 2007-08-22
        更新日期 2007-08-23

扫描目标 C:\Documents and Settings\Administrator\桌面\virus_sample_070823.rar

开始时间 2007-08-23 09:54:29

在 C:\Documents and Settings\Administrator\桌面\virus_sample_070823.rar->4X4VCQXQ.DLL 中发现 TrojanDownloader.Agent.mxc 病毒, 已删除
在 C:\Documents and Settings\Administrator\桌面\virus_sample_070823.rar->AWTTQON.DLL 中发现 Trojan/PSW.Mumed.lo 病毒, 已删除
在 C:\Documents and Settings\Administrator\桌面\virus_sample_070823.rar->DDCCA.DLL 中发现 TrojanDownloader.Agent.nec 病毒, 已删除
在 C:\Documents and Settings\Administrator\桌面\virus_sample_070823.rar->SOFAJ.SYS 中发现 TrojanDownloader.Agent.mpi 病毒, 已删除
正常结束。

扫描结果:
                 文件数 :510                                 病毒体 :4         
                   删除 :4                                     解毒 :0         
    扫描速度(千字节/秒) :12659                             扫描时间 :00:00:12
    扫描文件速度(个/秒) :42

tracydk

2个

woai_jolin

snoopyalex

NIS报

扫描统计:
  扫描时间: 4
  扫描选项:
  扫描目标: C:\Documents and Settings\Alex\桌面\virus_sample_070823.rar
  计数:
   扫描的项目总数: 6
   - 文件和目录: 6
   - 注册表项: 0
   - 进程和启动项目: 0
   - 网络和浏览器项目: 0
   - 其他: 0
   检测到的安全风险总数: 3
   已解决的项目总数: 0
   需要注意的项目总数: 3
已解决的风险:

未解决的风险:
Trojan.Farfli
病毒 ID: 39740
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 个文件
[4x4vcqxq.dll] 位于[c:\documents and settings\alex\桌面\virus_sample_070823.rar] - 已感染

Trojan.Awax
病毒 ID: 18137
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 个文件
[awttqon.dll] 位于[c:\documents and settings\alex\桌面\virus_sample_070823.rar] - 已感染

Trojan.Farfli
病毒 ID: 39740
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 个文件
[sofaj.sys] 位于[c:\documents and settings\alex\桌面\virus_sample_070823.rar] - 已感染

sharkkong

下载卡吧就报了3个

kananperu

KIS7

卡巴斯基互联网安全套装 7.0
The requested URL http://bbs.kafan.cn/attachment.php?aid=117694 is infected with Trojan-Downloader.Win32.Agent.bbb virus

yashoo

K7 三个

已删除: 木马程序 Trojan-Downloader.Win32.Agent.bbb        文件: E:\test\virus_sample_070823.rar/4X4VCQXQ.DLL
已删除: 广告程序 not-a-virus:AdWare.Win32.Virtumonde.jp        文件: E:\test\virus_sample_070823.rar/AWTTQON.DLL
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bbb        文件: E:\test\virus_sample_070823.rar/SOFAJ.SYS

moonsilver

1个