过卡巴（目前已经能够发现），目前只有五款杀软能够发现！（因MD5不固定，省略了）

显示全部楼层 · 发表于 2007-11-6 23:24:39

这个样本来自于http://bbs.kafan.cn/viewthread.php?tid=153262&extra=page%3D1帖子中中被加密的脚本病毒，是原病毒的完美解密版本，全部是由我自己纯手工解密的！

病毒样本中的两个下载者网址的内容也是经过加密的，懒得解密了，直接贴在这里，给有时间的朋友们，帮忙解密吧～

fromurl="http://u7.6600.org/u72.asp"
fromurl2="http://u6.2288.org/u72.asp"

复制代码

附上各杀软的扫描结果。

扫描结果 :	11%的杀软(4/35)报告发现病毒
时间 :	2007/11/06 23:14:04 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	3.0.0.126	2007.11.05	2007-11-05	-	4.361
AntiVir	7.6.0.30	7.0.0.174	2007-11-05	HTML/ADODB.Exploit.Gen	10.681
Arcavir	1.0.4	200711052023	2007-11-05	-	8.465
AVAST	1.0.8	071105-1	2007-11-05	-	12.623
AVG	7.5.49.442	269.15.23/1113	2007-11-06	-	10.451
BitDefender	7.60825.937828	7.15694	2007-11-06	-	15.615
CA (VET)	9.0.0.143	31.2.5272	2007-11-06	-	2.183
ClamAV	0.91.2	4681	2007-11-06	-	0.026
Comodo	2.11	2.0.0.335	2007-11-05	-	1.964
Dr.WEB	4.44.0.9170	2007.11.06	2007-11-06	SCRIPT.Virus	11.364
ewido	4.0.0.2	2007.11.05	2007-11-05	-	2.468
F-PROT	4.4.1.52	20071105	2007-11-05	-	3.164
F-SECURE	5.51.6100	2007.11.05.05	2007-11-05	-	0.069
IKARUS	T3.1.01.15	2007.11.06.69773	2007-11-06	-	2.145
MKS_VIR	2.01	2007.11.06	2007-11-06	-	14.759
NOD32	2.70.10	2640	2007-11-06	VBS/TrojanDownloader.Small.L trojan	0.010
NORMAN	5.91.08	5.90	2007-11-05	-	15.757
nProtect	2007-11-05.00	1022109	2007-11-05	-	11.382
Prevx	V2	20071106	2007-11-06	-	7.105
QuickHeal	9.00	2007.11.06	2007-11-06	-	3.941
SOPHOS	2.49.1	4.21	2007-11-06	-	12.616
The Hacker	6.2.9	v00117	2007-11-05	-	1.816
VBA32	3.12.2.4	20071106.0922	2007-11-06	-	3.443
ViRobot	20071106	2007.11.06	2007-11-06	-	0.925
VirusBuster	4.3.19:9	9.113.12/11.0	2007-11-05	-	4.444
卡巴斯基	7.0.0.125	2007.11.05	2007-11-05	-	2.594
安博士V3	2007.11.06.00	2007.11.06	2007-11-06	-	3.122
江民杀毒	10.00.650	2007.11.05	2007-11-05	-	2.495
熊猫卫士	9.04.03.0001	2007.11.05	2007-11-05	-	22.134
瑞星	19.0	20.17.01.00	2007-11-05	Trojan.DL.VBS.Iwill	3.316
赛门铁克	1.3.0.24	20071105.016	2007-11-05	-	0.281
趋势	8.500-1001	4.814.06	2007-11-06	-	0.053
迈克菲	5.2.00	5156	2007-11-05	-	4.815
金山毒霸	2007.6.20.249	2007.11.6	2007-11-06	-	3.143
飞塔	2.81-3.11	8.327	2007-11-05	-	9.923

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

复制到剪贴板

[ 本帖最后由 SONGBOWEN 于 2007-11-7 12:28 编辑 ]

显示全部楼层 · 发表于 2007-11-6 23:25:24

先发一下小红伞的扫描报告：
Begin scan in 'C:\解密后.vbs'
C:\解密后.vbs
[DETECTION] Contains detection pattern of the HTML script virus HTML/ADODB.Exploit.Gen
[WARNING] The file was ignored!

[ 本帖最后由 SONGBOWEN 于 2007-11-6 23:26 编辑 ]

显示全部楼层 · 发表于 2007-11-6 23:26:39

截图——为了解密这个文件，我产生的临时文件～
ps：过程中间，我还删掉了一部分临时文件……

[ 本帖最后由 SONGBOWEN 于 2007-11-6 23:28 编辑 ]

显示全部楼层 · 发表于 2007-11-6 23:27:27

费尔也报。。

显示全部楼层 · 发表于 2007-11-6 23:29:24

原帖由平淡于 2007-11-6 23:27 发表
费尔也报。。

149836

加上费尔，共五款！

显示全部楼层 · 发表于 2007-11-7 00:23:25

Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Standard Database - 403
Paranoia Database - 48490
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\Uhthn\Desktop\解密后.vbs

C:\Documents and Settings\Uhthn\Desktop\解密后.vbs - Infected VIRUS.SCRIPT.2AB5 - Disinfected

1 Files scanned
1 Infected files found
0 Suspected files found
1 Files disinfected
0 Files deleted

显示全部楼层 · 发表于 2007-11-7 00:39:32

运行了
出现一个hello hacker
的对话框就没了
请问有啥动作？

显示全部楼层 · 发表于 2007-11-7 06:13:58

正在下载的时候卡巴就报毒了

显示全部楼层 · 发表于 2007-11-7 06:52:42

C:\Documents and Settings\Administrator\桌面\解密后.rar » RAR » 解密后.vbs - VBS/TrojanDownloader.Small.L trojan

显示全部楼层 · 发表于 2007-11-7 07:12:34

請樓主給個他會下載的病毒，謝謝！

[病毒样本] 过卡巴（目前已经能够发现），目前只有五款杀软能够发现！（因MD5不固定，省略了）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源