www.changehope.com/

显示全部楼层 · 发表于 2008-1-4 21:26:15

不怕死的向前冲

显示全部楼层 · 发表于 2008-1-4 21:32:35

1) http://www.changehope.com/ : 安全
2) http://www.changehope.com/favicon.ico : 安全
3) http://www.changehope.com/Skin/SkinComper/yixiang.css : 未知网页 height=14>
4) http://www.changehope.com/frontpage.css : 未知网页 height=14>
5) http://s72.cnzz.com/stat.php?id= ... 33644&show=pic1 : 未知网页
6) http://sysimages.tq.cn/js/tqDragAndCommon.js : 未知网页
7) http://sysimages.tq.cn/js/tqGetOnlineFlag.js : 安全
8) http://sysimages.tq.cn/js/tqDistrabute.js : 安全

危险的链接：0
安全的链接：4
失效的链接：4
页面总数量：8

显示全部楼层 · 发表于 2008-1-4 21:36:30

一个网页而已

显示全部楼层 · 发表于 2008-1-5 00:25:39

4嗰

显示全部楼层 · 发表于 2008-1-5 01:03:54

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\4.rar'
C:\Documents and Settings\Administrator\My Documents\
  4.rar
[0] Archive type: RAR
--> s[1].exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING] Infected files in archives cannot be repaired!
   --> 14[1].exe
      [1] Archive type: Runtime Packed
      --> Object
         [DETECTION] Is the Trojan horse TR/Drop.Agent.23552
         [WARNING] Infected files in archives cannot be repaired!
   --> bak[1].css
      [1] Archive type: Runtime Packed
      --> Object
         [DETECTION] Contains suspicious code HEUR/Malware
         [WARNING] Infected files in archives cannot be repaired!
   --> ntuser.com
      [1] Archive type: Runtime Packed
      --> Object
         [DETECTION] Contains suspicious code HEUR/Malware
         [WARNING] Infected files in archives cannot be repaired!
   [INFO]    The file was deleted!

End of the scan: 2008年1月4日  09:03
Used time: 00:03 min

The scan has been done completely.

   0 Scanning directories
   5 Files were scanned
   1 viruses and/or unwanted programs were found
   3 Files were classified as suspicious:
   1 files were deleted
   0 files were repaired
   0 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   4 Files not concerned
   1 Archives were scanned
   4 Warnings
   0 Notes

显示全部楼层 · 发表于 2008-1-5 03:54:52

铁壳报木马。

显示全部楼层 · 发表于 2008-1-5 07:44:36

2008-01-05 07:28:41 執行應用程序操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\14[1].exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2008-01-05 07:28:46 建立檔案操作:允許
程序路徑:D:\14[1].exe
檔案路徑:C:\WINDOWS\system32\drivers\pcibus.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

2008-01-05 07:29:41 執行應用程序    操作:允許
程序路徑:D:\14[1].exe
檔案路徑:C:\WINDOWS\system32\svchost.exe
觸發規則:所有程序規則->*

2008-01-05 07:29:44 修改其它程序記憶體    操作:允許
程序路徑:D:\14[1].exe
目標程序:C:\WINDOWS\system32\svchost.exe
觸發規則:所有程序規則->*

2008-01-05 07:29:48 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:D:\14[1].exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-05 07:29:50 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\WINDOWS\system32\Com\comrepl32.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-05 07:30:09 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\WINDOWS\system32\utility.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2008-01-05 07:30:21 修改登錄檔內容    操作:封鎖
程序路徑:C:\WINDOWS\system32\svchost.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
登錄檔名稱:*
觸發規則:所有程序規則->其他重要項->*\Software\Microsoft\Windows\Currentversion\Policies*

2008-01-05 07:30:28 建立檔案操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\WINDOWS\system32\taimpo.txt
觸發規則:所有程序規則->全域設定_普通模式->*

taimpo.txt的結構
[quote]
20080107 http://121.10.115.89/soft00.exe
20080107 http://121.10.115.89/soft01.exe
20080107 http://121.10.115.89/soft02.exe
20080107 http://121.10.115.89/soft03.exe
20080107 http://121.10.115.89/soft04.exe
20080107 http://121.10.115.89/soft05.exe
20080107 http://121.10.115.89/soft06.exe
20080107 http://121.10.115.89/soft07.exe
20080107 http://121.10.115.89/soft08.exe
20080107 http://121.10.115.89/soft09.exe
20080107 http://121.10.115.89/soft10.exe
20080107 http://121.10.115.89/soft11.exe
20080107 http://121.10.115.89/soft12.exe
20080107 http://121.10.115.89/soft13.exe
20080107 http://121.10.115.89/soft14.exe
20080107 http://121.10.115.89/soft15.exe
20080107 http://121.10.115.89/soft16.exe
20080107 http://121.10.115.89/soft17.exe
20080107 http://121.10.115.89/soft18.exe
20080107 http://121.10.115.89/soft19.exe
20080107 http://121.10.115.89/soft20.exe
20080107 http://121.10.115.89/soft21.exe

2008-01-05 07:31:00 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\WINDOWS\system32\config\AppEventw.cfg
觸發規則:所有程序規則->全域設定_普通模式->*

2008-01-05 07:31:06 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\Program Files\coniem0.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-05 07:37:43 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\svchost.exe
檔案路徑:C:\WINDOWS\system32\taimpo.txt
觸發規則:所有程序規則->全域設定_普通模式->*
[/quote]

經查詢，此 IP 在大陸的廣東省

[ 本帖最后由 a256886572008 于 2008-1-5 07:50 编辑 ]

显示全部楼层 · 发表于 2008-1-5 07:53:36

18个

C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem0.exe - Win32/PSW.Agent.NGY trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem1.exe - a variant of Win32/PSW.OnLineGames.MUG trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem2.exe - Win32/PSW.OnLineGames.MUG trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem3.exe - a variant of Win32/PSW.OnLineGames.YA trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem4.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem5.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem6.exe - Win32/PSW.OnLineGames.YA trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem7.exe - Win32/PSW.OnLineGames.FDY trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem8.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem9.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem10.exe - Win32/PSW.WOW.WU trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem11.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem12.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem13.exe - Win32/PSW.WOW.WU trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem14.exe - probably a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem15.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem16.exe - a variant of Win32/PSW.OnLineGames.NFL trojan
C:\Users\Wesley\Downloads\14_dload.rar » RAR » coniem17.exe - Win32/PSW.QQPass.AON trojan

显示全部楼层 · 发表于 2008-1-5 08:11:09

2008-01-05 07:55:23 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\bak[1].css.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2008-01-05 07:58:33 執行應用程序    操作:封鎖
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\Net.exe
指令列:Stop Norton Antivirus Auto Protect Service
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2008-01-05 07:58:36 執行應用程序    操作:封鎖
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\Net.exe
指令列:Stop mcshield
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2008-01-05 07:58:41 執行應用程序    操作:封鎖
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop "Security Center"
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2008-01-05 07:58:43 執行應用程序    操作:封鎖
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop "Windows Firewall/Internet Connection Sharing (ICS)"
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2008-01-05 07:58:45 執行應用程序    操作:封鎖
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop System Restore Service
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2008-01-05 07:58:47 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\WINDOWS\system32\DirectX10.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2008-01-05 07:59:02 執行應用程序    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\Program Files\Messenger\msmsgs.exe
觸發規則:所有程序規則->*

2008-01-05 07:59:14 修改其它程序記憶體    操作:允許
程序路徑:D:\bak[1].css.exe
目標程序:C:\Program Files\Messenger\msmsgs.exe
觸發規則:所有程序規則->*

2008-01-05 07:59:16 建立遠端執行緒    操作:允許
程序路徑:D:\bak[1].css.exe
目標程序:C:\Program Files\Messenger\msmsgs.exe
觸發規則:所有程序規則->*

2008-01-05 07:59:44 建立檔案    操作:允許
程序路徑:C:\Program Files\Messenger\msmsgs.exe
檔案路徑:C:\Program Files\Internet Explorer\PLUGINS\vlllpRhx.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-05 08:00:47 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:D:\autorun.inf
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2008-01-05 08:00:48 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:D:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2008-01-05 08:00:49 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\autorun.inf
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2008-01-05 08:00:50 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2008-01-05 08:00:55 建立檔案    操作:允許
程序路徑:D:\bak[1].css.exe
檔案路徑:C:\Program Files\Common Files\Services\svchost.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-05 08:01:00 建立登錄檔值    操作:封鎖
程序路徑:D:\bak[1].css.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Default]
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-01-05 08:01:09 修改系統時間    操作:封鎖
程序路徑:D:\bak[1].css.exe

觸發規則:所有程序規則->*

显示全部楼层 · 发表于 2008-1-5 08:16:58

s[1].exe ，運行之後，他就自己退出進程了

[病毒样本] www.changehope.com/

本帖子中包含更多资源

本帖子中包含更多资源

ESET Smart Security

本帖子中包含更多资源