鸽子网站看到的~~~

乞丐王

如题    瑞星过

好像能过主动防御    装微点  卡巴  江民等有主动防御的   有兴趣的试试

[ 本帖最后由 乞丐王 于 2007-11-23 23:07 编辑 ]

nosferatu

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\1.rar'
C:\Documents and Settings\Administrator\桌面\1.rar
  [0] Archive type: RAR
  --> 1.exe
      [DETECTION] Contains suspicious code HEUR/Crypted
      [INFO]      The file was deleted!

乞丐王

VirSCAN.org Scanned Report :
Scanned time   : 2007/11/23 23:00:39 (CST)
Scanner results: 19%的杀软(7/36)报告发现病毒
File Name      : 1.rar
File Size      : 418101 byte
File Type      : RAR archive data, v1d, os
MD5            : 48e2843e25c42f7fee3367a3211b4385
SHA1           : 4115fd54d20de0de12316e5e6d9e4d52866a187e
Online report  : http://virscan.org/report/2f27d5c5325dce9708a4f8d03cd54c3e.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.11.22        2007-11-22  2.83   -
安博士V3       2007.11.23.01   2007.11.23        2007-11-23  0.91   -
AntiVir        7.6.0.34        7.0.1.4           2007-11-23  2.08   HEUR/Crypted
Arcavir        1.0.4           200711221635      2007-11-22  1.37   -
AVAST          1.0.8           071122-0          2007-11-22  3.04   Win32:Agent-KJF [Trj]
AVG            7.5.49.442      269.16.4/1147     2007-11-23  1.80   -
BitDefender    7.60825.956193  7.15928           2007-11-23  3.88   -
CA (VET)       9.0.0.143       31.3.5318         2007-11-23  0.69   -
ClamAV         0.91.2          4890              2007-11-23  0.27   -
Comodo         2.11            2.0.0.352         2007-11-23  0.88   -
CP Secure      1.1.0.655       2007.11.23        2007-11-23  4.74   -
Dr.WEB         4.44.0.9170     2007.11.23        2007-11-23  3.32   -
ewido          4.0.0.2         2007.11.22        2007-11-22  1.92   -
F-PROT         4.4.1.52        20071122          2007-11-22  1.30   Possible W32/Heuristic-162!Eldorado (not disinfectable)
F-SECURE       5.51.6100       2007.11.22.01     2007-11-22  2.96   -
飞塔           2.81-3.11       8.406             2007-11-23  1.91   -
ViRobot        20071122        2007.11.22        2007-11-22  0.45   -
IKARUS         T3.1.01.15      2007.11.23.69877  2007-11-23  1.58   suspicious(level 180)
江民杀毒       10.00.650       2007.11.22        2007-11-22  1.08   -
卡巴斯基       5.5.10          2007.11.23        2007-11-23  4.76   -
金山毒霸       2007.6.20.249   2007.11.23        2007-11-23  0.80   -
迈克菲         5.2.00          5169              2007-11-22  1.71   -
MKS_VIR        2.01            2007.11.23        2007-11-23  3.04   Win32.4
NOD32          2.70.10         2681              2007-11-23  3.30   -
NORMAN         5.91.08         5.90              2007-11-22  7.80   -
熊猫卫士       9.04.03.0001    2007.11.23        2007-11-23  3.02   -
趋势           8.500-1001      4.846.09          2007-11-23  0.45   -
Prevx          V2              20071123          2007-11-23  16.69  W32.Malware.gen
QuickHeal      9.00            2007.11.22        2007-11-22  2.31   -
瑞星           19.0            20.19.42.00       2007-11-23  1.97   -
SOPHOS         2.49.1          4.21              2007-11-23  4.28   Mal/Emogen-E
赛门铁克       1.3.0.24        20071122.022      2007-11-22  0.24   -
nProtect       2007-11-23.00   1060609           2007-11-23  11.47  -
The Hacker     6.2.9           v00138            2007-11-22  0.65   -
VBA32          3.12.2.5        20071123.1306     2007-11-23  1.20   -
VirusBuster    4.3.19:9        9.115.8/11.0      2007-11-23  1.50   -

傻猪猪米走鸡

ENA miss

zwl2828

ESET Smart Security Miss

Graybird

已上报~

will

Avast!报

will

跟踪了一下  这个鸽子有以下行为：
1.复制自身到system32文件夹下并改名为winkert.exe，释放tmp.bat，winkert.dat
2.tmp.bat是用来删除1.exe以及自身
3.将winkert.exe注册为服务，并利用 -service参数将其启动
4.启动IE，修改其内存，最终控制IE
5.利用IE连接网络

没有跟踪到hook键盘及鼠标函数    估计不能过主动防御
附上生成的winkert.dat   小红伞报TR/Agent.NBB

[ 本帖最后由 yimike 于 2007-11-24 09:09 编辑 ]

浪滔天

卡巴已入库
已删除: 木马程序 Trojan-Spy.Win32.Agent.aob        文件: F:\病毒样本\1.rar/1.exe

wangjay1980

detected: Trojan program Trojan-Spy.Win32.Agent.aob        URL: http://bbs.kafan.cn/attachment.php?aid=157324//1.exe