可疑，易语言的程序，怀疑是远控

显示全部楼层 · 发表于 2013-3-16 00:50:02

本帖最后由 dsb2466 于 2013-3-16 10:46 编辑

下载地址：http://pan.baidu.com/share/link? ... 781461&third=15

显示全部楼层 · 发表于 2013-3-16 01:52:12

很让人郁闷~

竟然没联网？还vpn肿么用？（排除没有网络）

创建隐藏dll至桌面

显示全部楼层 · 发表于 2013-3-16 09:11:11

卡巴扫描miss

火眼：火眼点评
inline hook 自身进程;设置文件属性;查找文件
其他行为监控
行为描述：查找文件
附加信息："%ProgramFiles%\SkinH_EL.dll"
行为描述：设置文件属性
附加信息：%ProgramFiles%\SkinH_EL.dll >> HIDE
行为描述：inline hook 自身进程
附加信息：私用VPN.exe USER32.dll!BeginPaint Ordinal: 14 HookType: InlineHook USER32.dll!EnableScrollBar Ordinal: 196 HookType: InlineHook USER32.dll!EndPaint Ordinal: 201 HookType: InlineHook USER32.dll!GetDC Ordinal: 269 HookType: InlineHook USER32.dll!GetScrollBarInfo Ordinal: 341 HookType: InlineHook USER32.dll!GetScrollInfo Ordinal: 342 HookType: InlineHook USER32.dll!GetScrollPos Ordinal: 343 HookType: InlineHook USER32.dll!GetScrollRange Ordinal: 344 HookType: InlineHook USER32.dll!GetWindowDC Ordinal: 365 HookType: InlineHook USER32.dll!GetWindowLongA Ordinal: 367 HookType: InlineHook USER32.dll!GetWindowLongW Ordinal: 368 HookType: InlineHook USER32.dll!ReleaseDC Ordinal: 555 HookType: InlineHook USER32.dll!SetScrollInfo Ordinal: 623 HookType: InlineHook USER32.dll!SetScrollPos Ordinal: 624 HookType: InlineHook USER32.dll!SetScrollRange Ordinal: 625 HookType: InlineHook USER32.dll!SetWindowLongA Ordinal: 641 HookType: InlineHook USER32.dll!SetWindowLongW Ordinal: 642 HookType: InlineHook USER32.dll!SetWindowRgn Ordinal: 645 HookType: InlineHook USER32.dll!WindowFromDC Ordinal: 725 HookType: InlineHook GDI32.dll!ExtTextOutA Ordinal: 222 HookType: InlineHook GDI32.dll!ExtTextOutW Ordinal: 223 HookType: InlineHook GDI32.dll!GdiTransparentBlt Ordinal: 327 HookType: InlineHook SkinH_EL.dll!SkinH_Attach Ordinal: 3 HookType: InlineHook SkinH_EL.dll!SkinH_Detach Ordinal: 8 HookType: InlineHook SkinH_EL.dll!SkinH_VerifySign Ordinal: 23 HookType: InlineHook
文件操作监控
操作文件MD5 文件大小文件路径
新增无 0 %temp%\-734540828.tmp
新增 147127382e001f495d1842ee7a9e7912 88576 %ProgramFiles%\SkinH_EL.dll
新增删除修改注册表监控
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\DrawDib
[vga.drv 1024x768x32(BGR 0)] = [31,31,31,31]

显示全部楼层 · 发表于 2013-3-16 10:46:08

求鉴定，到底是不是毒

显示全部楼层 · 发表于 2013-3-16 12:45:05

显示全部楼层 · 发表于 2013-3-16 16:46:29

微点保持沉默。

显示全部楼层 · 发表于 2013-3-16 17:16:39

没人了么？

显示全部楼层 · 发表于 2013-3-16 17:40:56

==，我用MD来测试下

显示全部楼层 · 发表于 2013-3-16 17:53:04

VirSCAN.org Scanned Report :
Scanned time : 2013/03/16 17:33:44 (CST)
Scanner results: 19%的杀软(7/37)报告发现病毒
File Name    : 私用VPN.exe
File Size    : 1581056 byte
File Type    : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5          : 5113ccf3ec2a54f796643b477a8c8de6
SHA1          : 7cac42b404ab89d302692b9acfd5d927d4111956
Online report  : http://r.virscan.org/f2a3b3838576ffe2ffce371317ac2d55

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    5.1.0.4       20130316130122 2013-03-16  0.00 -
安博士V3    2013.03.15.00 2013.03.15       2013-03-15  0.00 -
AntiVir       8.2.10.202    7.11.50.58       2012-11-16  0.21 -
安天          2.0.18       2.0.18.          0002-18-00  0.21 -
Arcavir       2011          201303041301    2013-03-04  1.75 -
Authentium    5.1.1          201303160247    2013-03-16  1.63 -
AVAST!       4.7.4          130315-1       2013-03-15  0.49 Win32:Malware-gen
AVG          13.0.3114    2641/6180       2013-03-15  0.30 -
BitDefender 7.90123.9296669 7.46069          2013-03-16  5.12 Gen:Variant.Zusy.29310
ClamAV       0.97.5       16856          2013-03-16  0.73 PUA.Win32.Packer.Upx-45
Comodo       5.1          15589          2013-03-16  0.00 -
CP Secure    1.3.0.5       2013.03.16       2013-03-16  0.61 -
Dr.Web       7.0.4.9250    2013.03.13       2013-03-13  17.07  -
F-Prot       4.6.2.117    20130316       2013-03-16  0.94 W32/Agent.EW.gen!Eldorado (generic, not disinfectable)
F-Secure    7.02.73807    2013.03.15.10    2013-03-15  0.26 Trojan:W32/DelfInject.R [FSE]
飞塔          4.3.392       16.549          2012-10-17  0.00 -
GData       22.8476       20130316       2013-03-16  0.00 -
ViRobot       20130315       2013.03.15       2013-03-15  0.00 -
Ikarus       T3.1.32.31.0 2013.03.16.83692  2013-03-16  7.72 Trojan.Win32.Agent
江民杀毒    16.0.100       2013.02.09       2013-02-09  0.00 -
卡巴斯基    5.5.10       2013.03.15       2013-03-15  0.53 -
金山毒霸    2009.2.5.15    2013.3.16.9    2013-03-16  0.00 -
迈克菲       5400.1158    7015             2013-03-15  10.53  Generic.gl
Microsoft    1.9203       2013.03.16       2013-03-16  0.00 -
NOD32       3.0.21       7951             2013-01-30  0.17 -
Norman       6.8.3          201208311030    2012-08-31  0.00 -
熊猫卫士    9.05.01       2013.03.15       2013-03-15  0.00 -
趋势科技    9.500-1005    9.674.06       2013-01-22  0.39 -
Quick Heal    11.00          2013.03.15       2013-03-15  0.00 -
瑞星          20.0          24.53.02.01    2013-03-13  0.00 -
Sophos       3.40.1       4.86             2013-03-16  6.07 -
Sunbelt       3.9.2563.2    16078          2013-03-15  0.00 -
赛门铁克    1.3.0.24       20130315.004    2013-03-15  0.78 -
nProtect    20130315.01    14189163       2013-03-15  0.00 -
The Hacker    6.8.0.0       v00212          2013-03-15  0.00 -
VBA32       3.12.20.2    20130315.0740    2013-03-15  3.30 -
VirusBuster 5.5.2.13       15.0.377.0/110795632013-03-15  0.20 -

显示全部楼层 · 发表于 2013-3-16 18:14:19

打开时~~~

2013-3-16 18:17:09 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\私用vpn.exe
命令行: "D:\Documents and Settings\killleer\桌面\私用VPN.exe"
规则: [应用程序]d:\windows\explorer.exe

2013-3-16 18:17:13 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:17:16 创建文件允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\桌面\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-3-16 18:17:19 读文件 (2) 允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\桌面\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-3-16 18:17:21 设置文件隐藏属性允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\桌面\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-3-16 18:17:26 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\桌面\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-3-16 18:17:28 读文件允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\桌面\私用VPN.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-3-16 18:17:32 创建文件允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\-734540828.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-3-16 18:17:33 读文件允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\-734540828.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-3-16 18:18:22 读文件夹 (2) 允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-3-16 18:18:28 创建文件允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk
规则: [文件]*

2013-3-16 18:18:31 读文件夹 (2) 允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-3-16 18:18:33 创建新进程允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: d:\windows\system32\rasphone.exe
命令行: rasphone -r 　
规则: [应用程序]*

2013-3-16 18:18:35 读文件允许
进程: d:\windows\system32\rasphone.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:18:42 读文件允许
进程: d:\windows\system32\rasphone.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:18:44 读文件允许
进程: d:\windows\system32\rasphone.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:18:46 读文件夹允许
进程: d:\windows\system32\rasphone.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-3-16 18:18:48 读文件夹允许
进程: d:\windows\system32\rasphone.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-3-16 18:18:57 访问COM接口阻止
进程: d:\windows\explorer.exe
目标: {BA126AD1-2166-11D1-B1D0-00805FC1270E} Network Connection Manager Class
规则: [应用程序]d:\windows\explorer.exe

2013-3-16 18:19:06 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: UDP [本机 : 1262] ->  [239.255.255.250 : 1900]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-3-16 18:19:08 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: UDP [本机 : 68 (bootpc)] ->  [255.255.255.255 : 67 (bootps)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-3-16 18:19:39 访问COM接口阻止
进程: d:\windows\explorer.exe
目标: {BA126AD1-2166-11D1-B1D0-00805FC1270E} Network Connection Manager Class
规则: [应用程序]d:\windows\explorer.exe

2013-3-16 18:19:40 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: UDP [本机 : 1266] ->  [239.255.255.250 : 1900]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

退出时

2013-3-16 18:19:47 创建新进程允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: d:\windows\system32\rasphone.exe
命令行: rasphone -r 　
规则: [应用程序]*

2013-3-16 18:19:50 读文件 (3) 允许
进程: d:\windows\system32\rasphone.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:19:53 读文件夹 (4) 允许
进程: d:\windows\system32\rasphone.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-3-16 18:19:54 创建新进程允许
进程: d:\documents and settings\killleer\桌面\私用vpn.exe
目标: d:\windows\system32\rasphone.exe
命令行: rasphone -r 　
规则: [应用程序]*

2013-3-16 18:19:57 读文件 (3) 允许
进程: d:\windows\system32\rasphone.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-3-16 18:20:00 读文件夹 (4) 允许
进程: d:\windows\system32\rasphone.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

[病毒样本] 可疑，易语言的程序，怀疑是远控

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块