卡巴防不住这个样本

mark_mk

样本是2007-12-20日中的，一大堆病毒中的一个。
当时卡巴报发现其它几个病毒，但这个检测不出，
因为是以另一个帐户运行IE上网，所以病毒没有发
作出来，运行一下，结果卡巴马上就挂了。失望之
下试装上微点，一运行就提示病毒，还不错。直到
2007-12-28卡巴KIS6.0仍没有能检测这个样本。现
在卡巴加微点，以作互补，有意测试这个样本的最
好在影子系统下测试，估计是个偷密码帐号之类的
木马。在WINDOWS、SYSTEM32生成互相复制的文件
及在d盘根目录生成Autorun.command.pif等。自已
测吧。
解压密码是：kafan

hyxuzhimin

为什么加解压密码呀？难道要人解压再测吗？那样中招几率大了。不过被微点防住了。

avalonfish

连瑞星都能杀出来呢，Worm.Win32.VB.yzw，卡巴现在不行了呀。

leonfg

ESET

2007-12-28 22:23:14        Real-time file system protection        file        C:\Documents and Settings\GUNDAM\桌面\样本\样本\19.exe        a variant of Win32/PSW.Legendmir trojan        cleaned by deleting - quarantined        NT AUTHORITY\SYSTEM        Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe.

浪滔天

估计又是 Virus.Win32.Xorer 的变种吧。。。。
卡巴最近的反应有点慢，上报的病毒好久都不入库，是不是都过大年去了。。。。

a256886572008

2007-12-28 22:27:40    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\explorer.exe
檔案路徑:D:\19.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2007-12-28 22:27:42    建立檔案      操作:允許
程序路徑:D:\19.exe
檔案路徑:C:\WINDOWS\SERVICES.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 22:27:45    執行應用程序      操作:允許
程序路徑:D:\19.exe
檔案路徑:C:\WINDOWS\SERVICES.EXE
觸發規則:所有程序規則->*


2007-12-28 22:27:48    結束/建立執行緒      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
目標程序:C:\Program Files\UPHClean\uphclean.exe
觸發規則:所有程序規則->*


2007-12-28 22:27:55    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\Program Files\UPHClean\uphclean.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 22:28:04    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\rundll32.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2007-12-28 22:28:08    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\finder.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com


2007-12-28 22:28:13    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\finder.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com


2007-12-28 22:28:19    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\command.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-28 22:28:29    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\.lnk\ShellNew
登錄檔名稱:command
登錄檔數值:rundll32.com appwiz.cpl,NewLinkHere %1
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\.lnk*


2007-12-28 22:28:32    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*


2007-12-28 22:28:37    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\dunfile\shell\open\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*


2007-12-28 22:28:39    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\htmlfile\shell\Print\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*


2007-12-28 22:28:42    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\inffile\shell\Install\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*


2007-12-28 22:28:44    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\scrfile\shell\install\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*


2007-12-28 22:28:47    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*

2007-12-28 22:28:53    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\Program Files\Internet Explorer\iexplore.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com



2007-12-28 22:28:58    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\Program Files\Common Files\iexplore.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-28 22:29:04    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\htmlfile\shell\open\command
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*

2007-12-28 22:29:10    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\explorer.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com



2007-12-28 22:29:14    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\1.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2007-12-28 22:29:23    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
登錄檔名稱:Shell
登錄檔數值:Explorer.exe 1
觸發規則:所有程序規則->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2007-12-28 22:29:25    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\ExERoute.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe



2007-12-28 22:29:31    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\SERVICES.EXE
登錄檔路徑:HKEY_CLASSES_ROOT\.exe
登錄檔名稱:[Default]
觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\.exe*

2007-12-28 22:29:33    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:D:\autorun.inf
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf


2007-12-28 22:29:34    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:D:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-28 22:29:40    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\MSCONFIG.COM
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2007-12-28 22:29:47    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\dxdiag.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2007-12-28 22:29:53    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\system32\regedit.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2007-12-28 22:29:58    建立檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\WINDOWS\Debug\DebugProgram.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 22:30:03    修改檔案      操作:允許
程序路徑:C:\WINDOWS\SERVICES.EXE
檔案路徑:C:\MSDOS.SYS
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

感染 MSDOS.SYS

sam.to

原帖由 浪滔天 于 2007-12-28 22:34 发表
估计又是 Virus.Win32.Xorer 的变种吧。。。。
卡巴最近的反应有点慢，上报的病毒好久都不入库，是不是都过大年去了。。。。

你有沒有上报？

saga3721

微点和红伞双杀了，微点貌似用的特征码

mark_mk

是看一个视频网站里中的,没报啊,我想看卡巴要过几天才检出.卡巴的主动防御自我保护一点反应都没有，看来是比较针对卡巴了．

wangjay1980

居然在样本区还有人通过一个样本的查杀与否来决定杀软的好坏

只能无语