收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 刚离开一会儿就看到EQ提示这个
返回列表 发新帖
查看: 1909|回复: 5
收起左侧

[病毒样本] 刚离开一会儿就看到EQ提示这个

[复制链接]
小飞侠.net
发表于 2007-11-8 03:47:20 | 显示全部楼层 |阅读模式
一个叫SinaProc327.exe被EQ拦截~等我回来刚好进我的system32目录下~~

VirSCAN.org Scanned Report :
Scanned time   : 2007/11/08 03:30:57 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : SinaProc327.rar
File Size      : 92461 byte
File Type      : RAR archive data, v1d, os
MD5            : 8e7b20ad0ade7b9e9f0171105b506ff8
SHA1           : a86cc85a100e4e106860cb7358933cae84d713ad
Online report  : http://virscan.org/report/72df9ac9a1039804ec7794266925850f.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.11.06        2007-11-06  3.08   -
安博士V3       2007.11.08.00   2007.11.08        2007-11-08  0.91   -
AntiVir        7.6.0.34        7.0.0.185         2007-11-07  2.30   -
Arcavir        1.0.4           200711071247      2007-11-07  1.60   -
AVAST          1.0.8           071106-0          2007-11-06  3.47   -
AVG            7.5.49.442      269.15.24/1115    2007-11-07  1.96   -
BitDefender    7.60825.937927  7.15712           2007-11-08  4.38   -
CA (VET)       9.0.0.143       31.2.5276         2007-11-07  1.51   -
ClamAV         0.91.2          4693              2007-11-08  0.38   -
Comodo         2.11            2.0.0.337         2007-11-07  1.45   -
Dr.WEB         4.44.0.9170     2007.11.07        2007-11-07  3.74   -
ewido          4.0.0.2         2007.11.07        2007-11-07  1.82   -
F-PROT         4.4.1.52        20071107          2007-11-07  1.41   -
F-SECURE       5.51.6100       2007.11.07.04     2007-11-07  0.05   -
飞塔           2.81-3.11       8.337             2007-11-07  1.89   -
ViRobot        20071107        2007.11.07        2007-11-07  0.50   -
IKARUS         T3.1.01.15      2007.11.07.69782  2007-11-07  1.34   -
江民杀毒       10.00.650       2007.11.06        2007-11-06  1.22   -
卡巴斯基       7.0.0.125       2007.11.07        2007-11-07  3.27   -
金山毒霸       2007.6.20.249   2007.11.8         2007-11-08  2.08   -
迈克菲         5.2.00          5158              2007-11-07  1.49   -
MKS_VIR        2.01            2007.11.08        2007-11-08  4.77   -
NOD32          2.70.10         2643              2007-11-07  0.03   -
NORMAN         5.91.08         5.90              2007-11-05  5.08   -
熊猫卫士       9.04.03.0001    2007.11.07        2007-11-07  3.25   -
趋势           8.500-1001      4.816.09          2007-11-07  0.05   -
Prevx          V2              20071108          2007-11-08  3.12   -
QuickHeal      9.00            2007.11.07        2007-11-07  2.15   -
瑞星           19.0            20.17.22.00       2007-11-07  1.21   -
SOPHOS         2.49.1          4.21              2007-11-07  3.48   -
赛门铁克       1.3.0.24        20071106.025      2007-11-06  0.19   -
nProtect       2007-11-07.00   1024364           2007-11-07  7.46   -
The Hacker     6.2.9           v00118            2007-11-06  0.68   -
VBA32          3.12.2.4        20071106.1422     2007-11-06  1.01   -
VirusBuster    4.3.19:9        9.113.14/11.0     2007-11-07  1.58   -

[ 本帖最后由 小飞侠.net 于 2007-11-8 04:03 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dericyeoh
发表于 2007-11-8 09:08:42 | 显示全部楼层
KIS7 pass
回复

举报

hahacomcn
发表于 2007-11-8 09:13:26 | 显示全部楼层
红伞pass!
回复

举报

a256886572008
发表于 2007-11-8 09:33:23 | 显示全部楼层
一直在進程中,沒有別的反應

回复

举报

capsshift
发表于 2007-11-8 10:08:58 | 显示全部楼层
等了半天,不知道他要干嘛。

红伞微点飘过。
回复

举报

小飞侠.net
 楼主| 发表于 2007-11-8 11:30:50 | 显示全部楼层
原帖由 a256886572008 于 2007-11-8 09:33 发表
一直在進程中,沒有別的反應


应该没毒~据网上资料
新浪的病毒式推广模式
--------------------------------------------------------------------------------
dqcom.com  发布:2006-7-21 16:35:42  来自:龙江商务网  浏览:次


  最近,我打开我的计算机,发现桌面上多了两个图标,烦死了,居然是新浪的游戏链接。我很少玩新浪的游戏,所以不可能自已建这么一个图标。我想,可能是谁用过我的计算机,习惯性地做了图标吧。于是,删除,清空回收站。结果第二天开机,又还是有这两个图标。在网上找了半天,在论坛中找到这样一个贴子,准备试试。
  如果你常上新浪网,又不想沾上这个东西,还有别的方法吗?如果你知道,请告知,帮助大家节省时间。可能以后我会少去新浪了。

以下转自杭州论坛。

你的电脑杀过毒吗?其他有什么特征?最近有报道说是关于SINA的,贴来给你看看:(以下为转帖)
  2004年7月18日晚,打开计算机桌面出现一个名为“新浪游戏总动园”的快捷方式直接连接到新浪http://igame.sina.com.cn/。经过研究,是新浪利用了系统漏洞传播的一个类似于病毒的小插件!产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载。也就是说,如果你不处理这两个文件,就会自动在桌面产生一个名为“新浪游戏总动园”的快捷方式。不仅仅如何,新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。
   试问,作为新浪这样首屈一指的华人网站尽然做出这种下三滥网站做出的手法,那还有什么网站部可以这样做呢?这一种做法简直就是强盗入门的手法,和普通黑客在系统中留一个后门有什么区别。既然你可以这样做,那么别人计算机内的文件你是否有可以利用这一后门打开?上网的用户还有隐私么?不想过多评论这一做法,也不想评论国内某些大网站像轮奸眼睛那样的低级推广做法,希望作为华人骄傲的新浪网立刻停止这一低级的手法来推广你们的栏目,也为全球华人留一点脸面谢谢!
   
   删除方法:首先修改注册表,关闭名为启动项:nmgamex.dll、csrss.exe,然后删除nmgamex.dll、sinaproc327.exe两个文件,再修改csrss.exe文件为任意一个文件名。从新启动计算机后删除修改的csrss.exe文件。
   本人计算机为WIN2K操作系统,其动项键值如下:
一:启动名称为:nmgamex_autorun  类型:REG_SZ  键值:C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa
二:启动名称为:csrss.exe  类型:REG_SZ  键值:C:\WINNT\csrss.exe

文件所在目录:
csrss.exe     c:\winnt\csrss.exe;   正确的系统文件目录为:c:\winnt\system32\csrss.exe;
cctv5.exe     c:\cctv5.exe;
sinaproc327.exe     c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe     c:\winnt\NMWizardA14.exe
nmgamex.dll        c:\winnt\system32\nmgamex.dll        

察看文件NMGameX.dll属性:在版本项中可以看到如下信息:
备注:SPORT-新浪体育频道
产品版本:1,0,0,24
产品名称:NMGAMEN.XEngine
个人用内部版本说明:无
公司名称:NMGameX
合法商标:无
内部名称:NMGameX
特殊内部版本说明:无
语言:中文(中国)
源文件名:NMGameX.dll
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 07:01 , Processed in 0.130532 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表