[病毒样本] 54

显示全部楼层 · 发表于 2012-4-26 15:21:58

http://labs.bitdefender.com/2012/04/xpaj-the-bootkit-edition/

不是新样本，仅供研究

infected

显示全部楼层 · 发表于 2012-4-26 15:22:59

本帖最后由雨中楼于 2012-4-26 15:39 编辑

呵呵，下載看看

安裝全局鉤子
04/26/2012 15:26:34 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 安装全局消息钩子 c:\windows\system32\dinput.dll 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [钩子模块]* 钩子类型: WH_MOUSE_LL

底層磁盤讀寫
04/26/2012 15:26:42 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 底层磁盘读操作 \Device\Harddisk0\DR0 允许 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\*

04/26/2012 15:26:50 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 底层磁盘写操作 \Device\Harddisk0\DR0 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\*

訪問網絡
04/26/2012 15:26:50 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 访问网络 TCP [本机 : 1471] -> [208.91.198.30 : 80 (http)] 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

修改系統下面的N多dll/exe 文件
04/26/2012 15:26:54 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 修改文件 C:\WINDOWS\system32\tskill.exe 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [文件组]All Executable Files -> [文件]*; *.exe 『這是做什麼大家應該明白吧』

04/26/2012 15:27:02 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 修改文件 C:\WINDOWS\system32\SBTRVD32.DLL 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [文件组]All Executable Files -> [文件]*; *.dll

04/26/2012 15:27:36 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 修改文件 C:\WINDOWS\system32\dmremote.exe 阻止 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [文件组]All Executable Files -> [文件]*; *.exe

在temp文件夾中隨機生成N多tmp文件！
04/26/2012 15:26:51 c:\documents and settings\administrator\桌面\test\d5c12fcfeebbe63f74026601cd7f39b2.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\1B7.tmp 允许 [应用程序组]Setup/Test -> [应用程序]c:\documents and settings\*\桌面\test\* -> [文件]*

显示全部楼层 · 发表于 2012-4-26 15:23:13

本帖最后由 656635525 于 2012-4-26 15:25 编辑

显示全部楼层 · 发表于 2012-4-26 15:26:52

卡巴杀

显示全部楼层 · 发表于 2012-4-26 15:36:45

20120426 073529 文件"C:\Users\A\Desktop\xpaj\d5c12fcfeebbe63f74026601cd7f39b2"属于病毒/间谍软件 'Troj/XPajBDrp-A'。
20120426 073533 文件"C:\Users\A\Desktop\xpaj\d5c12fcfeebbe63f74026601cd7f39b2"已清除。
20120426 073533 病毒/间谍软件 'Troj/XPajBDrp-A' 已删除。

显示全部楼层 · 发表于 2012-4-26 15:44:35

完整路径: c:\users\ww\desktop\d5c12fcfeebbe63f74026601cd7f39b2
威胁: Suspicious.Cloud.7.F
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/4/26 ( 15:44:26 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________
http://bbs.kafan.cn/forum.php?mo ... DQ5ODU1MnwxMjc2MTYz 已下载文件d5c12fcfeebbe63f74026601cd7f39b2
威胁名称:
Suspicious.Cloud.7.F自
bbs.kafan.cn
____________________________
文件操作
文件: c:\users\ww\desktop\d5c12fcfeebbe63f74026601cd7f39b2
已删除
____________________________
文件指纹 - SHA:
9db7ef2d1495dba921f3084b05d95e418a16f4c5e8de93738abef2479ad5b0da
____________________________
文件指纹 - MD5:
d5c12fcfeebbe63f74026601cd7f39b2
____________________________

显示全部楼层 · 发表于 2012-4-26 16:29:57

显示全部楼层 · 发表于 2012-4-26 16:36:54

2012-4-26 16:34:16 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\xpaj\d5c12fcfeebbe63f74026601cd7f39b2.exe
命令行: "E:\downloads\管理员\xpaj\d5c12fcfeebbe63f74026601cd7f39b2.exe"
规则: [应用程序]*

2012-4-26 16:34:24 安装全局消息钩子允许
进程: e:\downloads\管理员\xpaj\d5c12fcfeebbe63f74026601cd7f39b2.exe
目标: c:\windows\system32\dinput.dll
钩子类型: WH_MOUSE_LL
规则: [应用程序]*

2012-4-26 16:34:31 访问网络允许
进程: e:\downloads\管理员\xpaj\d5c12fcfeebbe63f74026601cd7f39b2.exe
目标: TCP [本机 : 4963] -> [208.91.198.30 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-4-26 16:34:36 创建文件允许
进程: e:\downloads\管理员\xpaj\d5c12fcfeebbe63f74026601cd7f39b2.exe
目标: C:\WINDOWS\ckwsg.dle
规则: [应用程序]* -> [文件]*

显示全部楼层 · 发表于 2012-4-26 17:18:13

扫描微点报壳

显示全部楼层 · 发表于 2012-4-26 17:40:47

红伞kill

[病毒样本] 54

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源