基本没几个杀软能查到 （10月24日）

The EQs

the file splayer32.exe will be detected as W32/Agent.BTH!tr.

a256886572008

wangjay1980

detected: Trojan program Trojan-Downloader.Win32.Agent.elx        URL: http://bbs.kafan.cn/attachment.php?aid=143655//splayer32.exe

wangjay1980

detected: Trojan program Backdoor.Win32.HacDef.q        URL: http://bbs.kafan.cn/attachment.php?aid=143676//protector.sys
detected: Trojan program Trojan-Downloader.Win32.Agent.ely        URL: http://bbs.kafan.cn/attachment.php?aid=143676//SVCH0ST.EXE

capsshift

红伞报了，就不测试了。

啊弥陀佛

原帖由 dikex 于 2007-10-24 21:56 发表
貌似有虚拟机检测的一个东西，从网上下载（乱码，作用未知）后释放一个exe文件，那个exe文件再释放出一个驱动文件，之后后台大量访问一些网址，可能是刷流量的东西

用记事本打开看到:

C:\Program Files\Internet Explorer\SVCH0ST.EXE  C:\temp~.wmz    SecondaryPlug   系统事件通知服务(SENS)，此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如果禁用此服务，显式依赖此服务的其他服务将无法启动   103054  wb  http://easycf.51.net/lgif/  .gif    http://61.152.116.2:8080/lgif/  SeShutdownPrivilege Description Start   SYSTEM\CurrentControlSet\Services\  {8E5A5924-74BA-43CD-B585-B031B44ECD66}  Software\Microsoft\Windows\CurrentVersion\Ext\Settings  Run Software\Microsoft\Windows\CurrentVersion       (1@     .H  
%s
    Read Error  rb  ZwOpenSection   RtlInitUnicodeString    ntdll.dll   CURRENT_USER    \ D e v i c e \ P h y s i c a l M e m o r y     (1@     .?AVtype_info@@

ashe_vaan

刚装上费尔。

y37007

    看报告都是 小红伞  VBA32 这些 启发式较强的报 了

残缺的唯美

Result: 2 malware found
Backdoor.Win32.HacDef.q (virus)
C:\Users\Administrator\Desktop\TEMP.rar\protector.sys
Trojan-Downloader.Win32.Agent.ely (virus)
C:\Users\Administrator\Desktop\TEMP.rar\SVCH0ST.EXE

傻猪猪米走鸡

D:\firefox下载的文件\TEMP.rar » RAR » protector.sys - probably a variant of Win32/HacDef trojan
D:\firefox下载的文件\TEMP.rar » RAR » SVCH0ST.EXE - probably a variant of Win32/HacDef trojan
D:\firefox下载的文件\TEMP.rar » RAR » 103054.gif - is OK
D:\firefox下载的文件\TEMP.rar - probably a variant of Win32/HacDef trojan