1个

显示全部楼层 · 发表于 2007-11-30 12:05:08

Starting the file scan:

Begin scan in 'E:\1.rar'
E:\1.rar
  [0] Archive type: RAR
  --> AnHao.exe
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-11-30 12:05:20

Begin scan in 'F:\Virus\1.rar'
F:\Virus\1.rar
  [0] Archive type: RAR
  --> AnHao.exe
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-11-30 12:07:36

已刪除: 病毒 Virus.Win32.AutoRun.ahh 檔案: C:\Documents and Settings\kato9096\桌面\1\AnHao.exe//FSG

显示全部楼层 · 发表于 2007-11-30 12:49:28

运行后结束微点进程,再次启动微点发现微点记录了此病毒的生成文件
(systemroot%\system32\snowfall.exe)
以下上网上搜索到的信息.

作者：清新阳光 ( http://hi.baidu.com/newcenturysun)
日期：2007/10/28 (转载请保留此申明)

样本来自卡饭，此病毒即原先分析过的sbl.exe系列的变种

File: AnHao.exe
Size: 35840 bytes
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
Modified: 2007年10月28日, 12:34:23
MD5: 53E349555372ADE49D4FF6C195DCEF5C
SHA1: E11B37AF59B6D4B5C64BB0DB600B7AC51D3F3226
CRC32: 1E49FEA3

技术细节：
1、释放病毒副本：
%systemroot%\system32\1.inf
%systemroot%\system32\forget.dll
%systemroot%\system32\snowfall.exe

检测各个分区根目录下是否有autorun.inf的文件或者文件夹，如果有则将其改名为AnHao
然后在各个分区释放autorun.inf和snow.exe达到通过U盘传播的目的
并每隔9s检测是否存在，如不存在，则重写

%systemroot%\system32\1.inf与autorun.inf内容相同

2.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令关闭Windows自带的防火墙

3.调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe

4.提升自身权限，关闭avp.exe的句柄

5.调用FindWindowTextA函数查找窗口标题，并通过PostMessageA函数发送WM_CLOSE,WM_DESTROY,WM_QUIT的消息关闭带有如下字样的窗口

防火墙
任务管理器
木马清道夫
木马克星
超级巡警
主线程
NOD32核心
微点
安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山

6.在HKLM\software\microsoft\windows NT\currentversion\image file execution options下面添加项目映像劫持以下杀毒软件和安全工具

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe

7.调用CreateProcess打开进程%systemroot%\system32\spoolsv.exe，把%systemroot%\system32\forget.dll注入到spoolsv.exe中，并调用

urlmon.dll实现下载功能

下载http://www.hackceo.com/ts.jif到c:\a.exe

到c:\b.exe
http://www.hackceo.com/ts.rar到c:\c.exe
但下载链接均已失效，无法判断是什么病毒...

8.病毒体内有字样“mylovegirlsbl”

解决办法：
下载冰刃：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng：
http://download.kztechs.com/files/sreng2.zip

显示全部楼层 · 发表于 2007-11-30 12:59:12

Win32:Agent-KNZ [Trj]

显示全部楼层 · 发表于 2007-11-30 14:02:10

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.DL.Win32.Autorun.yxx

用户来源：互联网

软件版本：20.20.40

显示全部楼层 · 发表于 2007-11-30 16:46:58

程序:
C:\DOCUMENTS AND SETTINGS\DELL\桌面\ANHAO.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\REMEMBER.DLL
2) C:\WINDOWS\SYSTEM32\SNOWFALL.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2007-11-30 19:07:53

C:\ABC\1.rar
C:\ABC\1.rar\AnHao.exe
>>> Virus 'Mal/Behav-160' found in file C:\ABC\1.rar\AnHao.exe

显示全部楼层 · 发表于 2007-11-30 19:16:36

DRWEB 4.44 Miss

[病毒样本] 1个

本帖子中包含更多资源

就是它了

avast!