1个新的[c767d2]

显示全部楼层 · 发表于 2007-11-9 19:49:21

卡饭_正式会员

帖子241 积分241 技术值0 魅力值0 注册时间2007-9-2

11楼 大中小发表于 2007-11-9 22:23 只看该作者

execmain.exe - 变形的 MFC App
真正的执行入口： 4044F4
会将Homepage改为www.kzxf.net
同时创建驱动服务
修改Internet Explorer快捷方式
隐藏桌面上的IE，以一个伪的代替

[ 本帖最后由 promised 于 2007-11-9 22:25 编辑 ]

显示全部楼层 · 发表于 2007-11-9 19:51:50

好多未报，能脱壳吗？

显示全部楼层 · 发表于 2007-11-9 19:52:26

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2007.11.9.1	2007.11.09	-
AntiVir	7.6.0.34	2007.11.09	HEUR/Malware
Authentium	4.93.8	2007.11.09	-
Avast	4.7.1074.0	2007.11.08	Win32:Agent-KJK
AVG	7.5.0.503	2007.11.09	-
BitDefender	7.2	2007.11.09	Generic.Malware.Bdld!sp.204385C7
CAT-QuickHeal	9.00	2007.11.09	(Suspicious) - DNAScan
ClamAV	0.91.2	2007.11.09	-
DrWeb	4.44.0.09170	2007.11.09	STPAGE.Trojan
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5282	2007.11.09	Win32/Livuto!generic
Ewido	4.0	2007.11.09	-
FileAdvisor	1	2007.11.09	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.09	-
F-Secure	6.70.13030.0	2007.11.09	-
Ikarus	T3.1.1.12	2007.11.09	Virus.Win32.Agent.KJK
Kaspersky	7.0.0.125	2007.11.09	-
McAfee	5159	2007.11.08	-
Microsoft	1.3007	2007.11.09	-
NOD32v2	2648	2007.11.09	-
Norman	5.80.02	2007.11.08	-
Panda	9.0.0.4	2007.11.09	-
Prevx1	V2	2007.11.09	Heuristic: Suspicious Self Modifying File
Rising	20.17.41.00	2007.11.09	-
Sophos	4.23.0	2007.11.09	-
Sunbelt	2.2.907.0	2007.11.09	VIPRE.Suspicious
Symantec	10	2007.11.09	-
TheHacker	6.2.9.122	2007.11.09	-
VBA32	3.12.2.4	2007.11.08	-
VirusBuster	4.3.26:9	2007.11.08	-
Webwasher-Gateway	6.0.1	2007.11.09	Heuristic.Malware

[ 本帖最后由 promised 于 2007-11-9 19:54 编辑 ]

显示全部楼层 · 发表于 2007-11-9 19:55:13

AVAST报

显示全部楼层 · 发表于 2007-11-9 19:57:09

运行了瑞星静悄悄的

显示全部楼层 · 发表于 2007-11-9 20:00:32

被ESS监控拦截

显示全部楼层 · 发表于 2007-11-9 20:09:48

木马名称:未知后门程序

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.DDB55590E8074DB\桌面\EXECMAIN.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

显示全部楼层 · 发表于 2007-11-9 21:49:57

Hello,

execmain.exe_ - Trojan.Win32.StartPage.atv

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

> Attachment: execmain.rar

显示全部楼层 · 发表于 2007-11-9 22:12:39

虚拟机下试验了

1.在%Systemdriver%创建驱动luaugicd.sys并加载
2.在%Windir%创建tmp.dup,emsf.bat
3.运行cmd命令加载emsf.bat到conime.exe,成功后删除emsf.bat

比较汗的是
卡巴,咖啡,NOD,瑞星,赛门铁克,诺顿......皆未报

ps:红伞好久前的病毒库都报了...哎...

[ 本帖最后由秋叶濛濛于 2007-11-9 22:14 编辑 ]

显示全部楼层 · 发表于 2007-11-9 22:16:28

针对某些杀软做的免杀太多。。

这些厂家以后要专门设立一个反免杀小组出来

[病毒样本] 1个新的[c767d2]

本帖子中包含更多资源