收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Trojan/Rootkit 2014-11-08 #12
1234下一页
返回列表 发新帖
查看: 3827|回复: 36
收起左侧

[病毒样本] Trojan/Rootkit 2014-11-08 #12

[复制链接]
bbszy
发表于 2014-11-9 02:15:14 | 显示全部楼层 |阅读模式
本帖最后由 bbszy 于 2014-11-9 02:59 编辑

原帖地址:malwaretips.com/threads/2014-11-08-12.36987/

样本下载地址:http://www53.zippyshare.com/v/69159906/file.html
或者:链接: http://pan.baidu.com/s/1hqejvrm 密码: psoj

解压密码:infected
回复

举报

b573684723
发表于 2014-11-9 02:39:36 | 显示全部楼层
没速度就不测了,希望LZ下次换成国内的网盘
回复

举报

东方妖妖梦
发表于 2014-11-9 04:59:36 | 显示全部楼层
火绒


瑞星

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

流年在消逝
发表于 2014-11-9 06:52:49 | 显示全部楼层
eav kill all
回复

举报

NS02
发表于 2014-11-9 06:55:16 | 显示全部楼层
大蜘蛛杀10个剩2个
360卫士台湾版杀11个剩1个
回复

举报

蓝天二号
发表于 2014-11-9 07:39:13 | 显示全部楼层
费尔

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

胖福
发表于 2014-11-9 07:47:43 | 显示全部楼层
文件名: 0f5c25833b27eee6edf2c9737925cf0f
威胁名称: Trojan.Zbot
完整路径: f:\备份\0f5c25833b27eee6edf2c9737925cf0f

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 52



____________________________



在电脑上的创建时间 
2014/11/9 ( 7:42:06 )


上次使用时间 
2014/11/9 ( 7:46:09 )


启动项目 



已启动 



____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。



____________________________



来源: 外部介质



源文件:
winrar.exe




创建的文件:
0f5c25833b27eee6edf2c9737925cf0f




____________________________

文件操作

文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\ ntos.exe 需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\wsnpoem\ audio.dll 需要重新启动
文件: c:\windows\system32\wsnpoem\ audio.dll 需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\wsnpoem\ video.dll 需要重新启动
文件: c:\windows\system32\wsnpoem\ video.dll 需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\ wsnpoem 需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\sysproc64\ sysproc32.sys 需要重新启动
文件: c:\windows\system32\sysproc64\ sysproc32.sys 需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\sysproc64\ sysproc86.sys 需要重新启动
文件: c:\windows\system32\sysproc64\ sysproc86.sys 需要重新启动
文件: c:\windows\system32\ ntos.exe 需要重新启动
文件: c:\windows\system32\ wsnpoem 需要重新启动
受感染文件: f:\备份\ 0f5c25833b27eee6edf2c9737925cf0f 已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\Windows\system32\ userinit.exe, 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\ gHcq8R9 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\ gHcq8R9 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\ gHcq8R9 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\ gHcq8R9 需要重新启动
注册表更改: HKEY_CLASSES_ROOT\CLSID\ {DE7CBE17-0368-40E2-8357-1639DA027BAB} 需要重新启动
注册表更改: HKEY_CLASSES_ROOT\ PPT_Test.Application 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\ Run->userinit 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\Microsoft\Windows\CurrentVersion\ Run->userinit 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\ Run->userinit 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ Run->userinit 需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion->Win32 需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Network->UID 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Network->UID 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Network->UID 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Network->UID 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Network->UID 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\ {19127AD2-394B-70F5-C650-B97867BAA1F7} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ {19127AD2-394B-70F5-C650-B97867BAA1F7} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\ {19127AD2-394B-70F5-C650-B97867BAA1F7} 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ {19127AD2-394B-70F5-C650-B97867BAA1F7} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\ {35106240-D2F0-DB35-716E-127EB80A0299} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ {35106240-D2F0-DB35-716E-127EB80A0299} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\ {35106240-D2F0-DB35-716E-127EB80A0299} 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ {35106240-D2F0-DB35-716E-127EB80A0299} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\ {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\ {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} 需要重新启动
注册表更改: HKEY_CLASSES_ROOT\ Cad.Document 需要重新启动
注册表更改: HKEY_CLASSES_ROOT\ .max 需要重新启动
注册表更改: HKEY_CLASSES_ROOT\ Matrix.Document 需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ .max 需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ Matrix.Document 需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system->EnableLUA:1 需要重新启动
____________________________


文件指纹 - SHA:
59f2555fb0689eb9ce6d59243add221241d9f7a16d02937ebbc69e4f23a55a32
文件指纹 - MD5:
不可用
回复

举报

XywCloud
发表于 2014-11-9 08:17:51 | 显示全部楼层
Baidu Antivirus云杀11个
回复

举报

kkgh
发表于 2014-11-9 09:38:44 | 显示全部楼层
FS 9个
回复

举报

蓝天二号
发表于 2014-11-9 09:52:46 | 显示全部楼层
KIS

[mw_shl_code=html,true][mw_shl_code=html,true]09.11.2014 09.46.58;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\0F5C25833B27EEE6EDF2C9737925CF0F;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\0F5C25833B27EEE6EDF2C9737925CF0F;11/09/2014 09:46:58;Trojan-Spy.Win32.Zbot.unmq
09.11.2014 09.46.58;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\0F5C25833B27EEE6EDF2C9737925CF0F;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\0F5C25833B27EEE6EDF2C9737925CF0F;11/09/2014 09:46:58;Trojan-Spy.Win32.Zbot.unmq
09.11.2014 09.46.58;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\3497ED07E50F60FB1D9C1723FFB6E4F2//res_0003;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\3497ED07E50F60FB1D9C1723FFB6E4F2//res_0003;11/09/2014 09:46:58;Trojan.MSIL.Agent.zxnj
09.11.2014 09.46.58;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\3497ED07E50F60FB1D9C1723FFB6E4F2//res_0003;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\3497ED07E50F60FB1D9C1723FFB6E4F2//res_0003;11/09/2014 09:46:58;Trojan.MSIL.Agent.zxnj
09.11.2014 09.46.58;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\6E10BE95F7F596D451602F6A438C0D68;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\6E10BE95F7F596D451602F6A438C0D68;11/09/2014 09:46:58;Trojan-Spy.MSIL.Stealer.w
09.11.2014 09.46.57;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\6E10BE95F7F596D451602F6A438C0D68;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\6E10BE95F7F596D451602F6A438C0D68;11/09/2014 09:46:57;Trojan-Spy.MSIL.Stealer.w
09.11.2014 09.46.57;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\D631CA3C1D6970635ECEE6F6CCF087FA;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\D631CA3C1D6970635ECEE6F6CCF087FA;11/09/2014 09:46:57;HEUR:Trojan.Win32.Generic
09.11.2014 09.46.57;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\D631CA3C1D6970635ECEE6F6CCF087FA;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\D631CA3C1D6970635ECEE6F6CCF087FA;11/09/2014 09:46:57;HEUR:Trojan.Win32.Generic
09.11.2014 09.46.57;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\D6F87F2C00E581E1C7F908FBB55BF1F6;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\D6F87F2C00E581E1C7F908FBB55BF1F6;11/09/2014 09:46:57;Trojan-Spy.Win32.Zbot.unme
09.11.2014 09.46.56;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\D6F87F2C00E581E1C7F908FBB55BF1F6;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\D6F87F2C00E581E1C7F908FBB55BF1F6;11/09/2014 09:46:56;Trojan-Spy.Win32.Zbot.unme
09.11.2014 09.46.56;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\E7ED4DC666E348717DE80D5EAA21F480;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\E7ED4DC666E348717DE80D5EAA21F480;11/09/2014 09:46:56;Trojan-Spy.Win32.Zbot.unnk
09.11.2014 09.46.56;检测到的对象(文件)已删除;C:\Users\MrChenWei\Desktop\新建文件夹\E79AEB7EBD84DE410563AE73E08BC6C8;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\E79AEB7EBD84DE410563AE73E08BC6C8;11/09/2014 09:46:56;UDS:DangerousObject.Multi.Generic
09.11.2014 09.46.56;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\E79AEB7EBD84DE410563AE73E08BC6C8;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\E79AEB7EBD84DE410563AE73E08BC6C8;11/09/2014 09:46:56;UDS:DangerousObject.Multi.Generic
09.11.2014 09.46.50;检测到对象(文件);C:\Users\MrChenWei\Desktop\新建文件夹\E7ED4DC666E348717DE80D5EAA21F480;2345好压;C:\Users\MrChenWei\Desktop\新建文件夹\E7ED4DC666E348717DE80D5EAA21F480;11/09/2014 09:46:50;Trojan-Spy.Win32.Zbot.unnk
[/mw_shl_code]
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-17 11:52 , Processed in 1.321094 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表