【b50360】VIP

saga3721

Virus or unwanted program 'HEUR/Malware [HEUR/Malware]'

.....

The EQs

还有一层maskpe

The EQs

norman沙盘报的
Found Sandbox: W32/Malware; [ General information ]

* **Locates window "Windows Security Center [class NULL]" on desktop.
* **Locates window "NULL [class NOD32KrnSvcWndClass]" on desktop.
* **Locates window "Symantec AntiVirus ��ҵ�� [class NULL]" on desktop.
* **Locates window "Symantec AntiVirus [class LANDeskVPC32]" on desktop.
* **Locates window "NULL [class TfLockDownMain]" on desktop.
* **Locates window "ZoneAlarm [class ZAFrameWnd]" on desktop.
* **Locates window "��������ǽ���˰� [class Tapplication]" on desktop.
* **Locates window "��������ǽ��ҵ�� [class Tapplication]" on desktop.
* **Locates window "���Ǹ��˷���ǽ���ذ� [class #32770]" on desktop.
* **Locates window "NULL [class TFireWall_Form]" on desktop.
* **Locates window "NULL [class Q360SafeMainClass]" on desktop.
* **Locates window "NULL [class TForm1]" on desktop.
* File length: 75776 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\DirectX10.dll.

[ Process/window information ]
* Creates a mutex %$#&**(%$#))(*&^%@#AS.
* Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.

微点卫士

微点：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\VIP.EXE
是否删除木马程序及其衍生物?

又召唤出了影子系统计划关机，并且QQ自动运行了

saga3721

所以说微点不光要有微点卫士，还要有小红伞做伴侣！
红伞罩着微点，微点帮着红伞，那就会是.....

jimmyleo

……什么理论

zane_xzz

一层PECompact

00405183    68 EA514000    push    004051EA                        ; ASCII "S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General"
0040525B    68 C2524000    push    004052C2                        ; ASCII "SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd"
00405317    68 7E534000    push    0040537E                        ; ASCII "Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE"
004053DB    68 46544000    push    00405446                        ; ASCII "Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE"
0040542A    BA 96544000    mov    edx, 00405496                    ; ASCII "%programfiles%\Internet Explorer\IEXPLORE.EXE"
004054DF    68 46554000    push    00405546                        ; ASCII "SOFTWARE\TENCENT\PLATFORM_TYPE_LIST\1"
0040575B    BA F2574000    mov    edx, 004057F2                    ; ASCII "C:\Program Files\Common Files\Services\svchost.exe"
00405773    68 26584000    push    00405826                        ; ASCII "C:\Program Files\Common Files\Services\"
004057B2    BA 4E584000    mov    edx, 0040584E                    ; ASCII "SoftWare\Microsoft\Windows\CurrentVersion\Run"
004058A1    BA 12594000    mov    edx, 00405912                    ; ASCII "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
00405CDB    B8 265D4000    mov    eax, 00405D26                    ; ASCII "avp.exe"
004062C8    68 FA624000    push    004062FA                        ; ASCII "Net Stop Norton Antivirus Auto Protect Service"
004062CD    E8 70DFFFFF    call    <jmp.&kernel32.WinExec>
004062D2    6A 00          push    0
004062D4    68 2A634000    push    0040632A                        ; ASCII "Net Stop mcshield"
004062D9    E8 64DFFFFF    call    <jmp.&kernel32.WinExec>
004062DE    6A 00          push    0
004062E0    68 3E634000    push    0040633E                        ; ASCII "net stop ""Windows Firewall/Internet Connection Sharing (ICS)"""
004062E5    E8 58DFFFFF    call    <jmp.&kernel32.WinExec>
004062EA    6A 00          push    0
004062EC    68 7E634000    push    0040637E                        ; ASCII "net stop System Restore Service"
004063C2    68 EE674000    push    004067EE                        ; ASCII "Windows Security Center"
004063E0    B8 0E684000    mov    eax, 0040680E                    ; ASCII "regedit.exe"
004063E5    E8 98FDFFFF    call    00406182
004063EA    B8 22684000    mov    eax, 00406822                    ; ASCII "msconfig.exe"
004063EF    E8 8EFDFFFF    call    00406182
004063F4    B8 3A684000    mov    eax, 0040683A                    ; ASCII "taskgmr.exe"
004064A4    B8 D6684000    mov    eax, 004068D6                    ; ASCII "IFGIj`qwcB65"
004064D6    B8 EE684000    mov    eax, 004068EE                    ; ASCII "QaEblx^NDoHf`c"
004066A9    B8 E2694000    mov    eax, 004069E2                    ; ASCII "360tray.exe"
004066AE    E8 CFFAFFFF    call    00406182
004066B3    B8 F6694000    mov    eax, 004069F6                    ; ASCII "360safe.exe"
004066F7    BA 126A4000    mov    edx, 00406A12                    ; ASCII "噬菌体"
00406730    BA 226A4000    mov    edx, 00406A22                    ; ASCII "木马克星"
00406750    B8 366A4000    mov    eax, 00406A36                    ; ASCII "WoptiClean.exe"
00406775    B8 4E6A4000    mov    eax, 00406A4E                    ; ASCII "EGHOST.EXE"
0040677F    B8 626A4000    mov    eax, 00406A62                    ; ASCII "Iparmor.exe"
00406789    B8 766A4000    mov    eax, 00406A76                    ; ASCII "MAILMON.EXE"
00406793    B8 8A6A4000    mov    eax, 00406A8A                    ; ASCII "KAVPFW.EXE"
004067B8    B8 9E6A4000    mov    eax, 00406A9E                    ; ASCII "RogueCleaner.exe"
00406B5F    B9 2A6D4000    mov    ecx, 00406D2A                    ; ASCII ":\autorun.inf"
00406B84    B9 426D4000    mov    ecx, 00406D42                    ; ASCII ":\IO.pif"
00406BD8    BA 566D4000    mov    edx, 00406D56                    ; ASCII "[AutoRun]"
00406BF2    BA 6A6D4000    mov    edx, 00406D6A                    ; ASCII "open=IO.pif"
00406C0C    BA 7E6D4000    mov    edx, 00406D7E                    ; ASCII "shellexecute=IO.pif"
00406C26    BA 9A6D4000    mov    edx, 00406D9A                    ; ASCII "shell\\Auto\\command=IO.pif"
004070CE    B8 36734000    mov    eax, 00407336                    ; ASCII "Explorer.exe"
004070ED    B8 4E734000    mov    eax, 0040734E                    ; ASCII "QQ.EXE"
0040718E    B8 5E734000    mov    eax, 0040735E                    ; ASCII "MSMSGS.EXE"
004071AD    B8 72734000    mov    eax, 00407372                    ; ASCII "FLASHGET.EXE"
0040726D    B8 8A734000    mov    eax, 0040738A                    ; ASCII "THUNDER5.EXE"
0040758D    B9 FE764000    mov    ecx, 004076FE                    ; ASCII "\C$\Setup.exe"
00407604    B9 16774000    mov    ecx, 00407716                    ; ASCII "\C$\AutoExec.bat"
00408CBD    68 BA8E4000    push    00408EBA                        ; ASCII "Explorer.exe"
00408CC2    68 CA8E4000    push    00408ECA                        ; ASCII "open"
00408DB8    B9 0A8F4000    mov    ecx, 00408F0A                    ; ASCII "DirectX10.dll"
00408DD7    B9 228F4000    mov    ecx, 00408F22                    ; ASCII "urlmon.dll"


Files Created:
C:\WINDOWS\system32\DirectX10.dll
net1 Stop Norton Antivirus Auto Protect Service
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
net1 stop System Restore Service
Registry Keys Created:
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​AppEvents\​Schemes\​Apps\​MSMsgs\​MSMsgs_ContactOnline\​.Default
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​AppEvents\​Schemes\​Apps\​MSMsgs\​MSMsgs_NewAlert\​.Default
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​AppEvents\​Schemes\​Apps\​MSMsgs\​MSMsgs_NewMail\​.Default
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​AppEvents\​Schemes\​Apps\​MSMsgs\​MSMsgs_NewMessage\​.Default
HKLM\​Software\​Microsoft\​DownloadManager
Files Created:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLAXILMV\2[1].exe
C:\Programme\Messenger\lvback.gif
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS.WindowsShell.manifest
C:\WINDOWS\system32\rpcss.dll
C:\WINDOWS\system32\winlogon.exe
TCP Conversation from 192.168.0.2:1066 to 220.166.64.197:80
DNS Queries:
Name Query Type Query Result Successful
webye163.cn  Yes

saga3721

此非理论，乃实践也

jimmyleo

好了 别说了 ……

solcroft

有了微点，就是该抛弃一些误报率较高的东西的时候了，没有必要再为了安全而忍受误报了
要的是针对病毒，而不是报X [:26:]
此仍本主动防御用户的看法，希望别人不会见怪 [:27:]

[ 本帖最后由 solcroft 于 2007-8-26 21:47 编辑 ]