收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 磁碟机生成物
12下一页
返回列表 发新帖
查看: 4049|回复: 19
收起左侧

[病毒样本] 磁碟机生成物

[复制链接]
gwg829
头像被屏蔽
发表于 2008-1-8 16:04:47 | 显示全部楼层 |阅读模式
a-squared
3.0.0.126
2008.01.07
2008-01-07
-
4.032
AntiVir7.6.0.467.0.1.2012008-01-08-
9.598
Arcavir1.0.42008010719272008-01-07-
3.557
AVAST1.0.8080107-02008-01-07-
3.239
AVG7.5.49.442269.17.13/12122008-01-06Generic9.AKTA
3.463
BitDefender7.60825.9644377.167822008-01-08-
3.962
CA (VET)9.0.0.14331.3.54402008-01-08-
12.836
ClamAV 0.91.254282008-01-08-
7.008
Comodo2.112.0.0.3982008-01-08-
3.304
CP Secure1.1.0.6552008.01.082008-01-08-
24.711
Dr.WEB4.44.0.91702008.01.072008-01-07Trojan.Rox
12.396
ewido4.0.0.22008.01.032008-01-03-
3.116
F-PROT4.4.1.52200801072008-01-07-
6.231
F-SECURE5.51.61002008.01.07.072008-01-07-
14.739
IKARUST3.1.01.152008.01.03.700932008-01-03Virus.Win32.Xorer.dj
2.917
MKS_VIR2.012008.01.082008-01-08-
15.964
NOD322.70.1027722008-01-07a variant of Win32/Xorer virus
0.217
NORMAN5.91.085.902008-01-07W32/Smalltroj.BUNI
26.099
nProtect2008-01-07.0011131842008-01-07-
10.049
PrevxV2200801082008-01-08-
4.394
QuickHeal9.002008.01.072008-01-07-
5.448
SOPHOS2.49.14.212008-01-08-
29.634
The Hacker6.2.9v001832008-01-06-
2.061
VBA323.12.2.520080107.12572008-01-07-
8.891
ViRobot200801072008.01.072008-01-07-
1.673
VirusBuster4.3.19:99.118.19/11.02008-01-07-
8.975
卡巴斯基5.5.102008.01.082008-01-08-
31.878
安博士V32008.01.07.012008.01.072008-01-07-
2.783
江民杀毒10.00.6502008.01.072008-01-07Trojan/Kdcyy.j
2.244
熊猫卫士9.04.03.00012008.01.072008-01-07W32/Xorer.E.worm   
4.091
瑞星19.020.26.02.002008-01-07Worm.Win32.DiskGen.cf
3.657
赛门铁克1.3.0.2420080107.0022008-01-07W32.Pagipef.I!inf
0.259
趋势8.500-10014.934.062008-01-07-
0.092
迈克菲5.2.0052012008-01-07-
11.842
金山毒霸2007.6.20.2492008.1.82008-01-08Worm.VcingT.w.102400
2.562
飞塔2.81-3.118.4492007-12-03-
1.174


伞不报?  卡吧7启发

[ 本帖最后由 gwg829 于 2008-1-8 16:06 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a256886572008
发表于 2008-1-8 16:07:15 | 显示全部楼层
2008-01-08 16:12:18    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\lsass.exe.23031859.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2008-01-08 16:12:21    結束/建立程序      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
目標程序:C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
觸發規則:所有程序規則->*


2008-01-08 16:12:24    刪除登錄檔      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


2008-01-08 16:12:26    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2008-01-08 16:12:28    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Everyone:F
觸發規則:所有程序規則->*


2008-01-08 16:12:30    修改登錄檔內容      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:ShowSuperHidden
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

修改隱藏屬性

2008-01-08 16:12:33    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\system32\cacls.exe
檔案路徑:C:\WINDOWS\system32\Com\comadmin.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

感染 comadmin.dll

2008-01-08 16:12:35    刪除登錄檔      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*


2008-01-08 16:12:37    刪除登錄檔      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

刪除 安全模式 註冊表

2008-01-08 16:12:39    修改登錄檔內容      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
登錄檔名稱:Type
登錄檔數值:radio
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2008-01-08 16:12:41    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-08 16:12:43    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2008-01-08 16:12:44    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2008-01-08 16:12:44    安裝服務或驅動      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->*


2008-01-08 16:12:45    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:ImagePath
登錄檔數值:\??\C:\NetApi00.sys
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2008-01-08 16:12:46    載入驅動程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
裝置名稱:NetApi00
觸發規則:所有程序規則->*


2008-01-08 16:12:48    刪除檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2008-01-08 16:12:49    刪除檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2008-01-08 16:12:51    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo ok
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-08 16:12:53    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\com\smss.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe


2008-01-08 16:12:54    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-08 16:12:55    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll


2008-01-08 16:12:56    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*


2008-01-08 16:12:58    建立登錄檔值      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
登錄檔名稱:PendingFileRenameOperations
登錄檔數值:\??\d:\lsass.exe.23031859.exe
觸發規則:所有程序規則->系統設定_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2008-01-08 16:13:00    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\037589.log
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-08 16:13:01    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll


2008-01-08 16:13:03    安裝整體掛鉤      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->*

2008-01-08 16:13:04    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf


2008-01-08 16:13:06    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\smss.exe C:\WINDOWS\system32\com\lsass.exe^|C:\pagefile.pif"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-08 16:13:07    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\smss.exe
指令列:C:\WINDOWS\system32\com\lsass.exe|C:\pagefile.pif
觸發規則:所有程序規則->*


2008-01-08 16:13:09    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:D:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf


2008-01-08 16:13:10    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\smss.exe C:\WINDOWS\system32\com\lsass.exe^|D:\pagefile.pif"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-08 16:13:13    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\smss.exe
指令列:C:\WINDOWS\system32\com\lsass.exe|D:\pagefile.pif
觸發規則:所有程序規則->*

U盤病毒行為

2008-01-08 16:13:30    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\com\smss.exe
指令列:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->*


2008-01-08 16:13:34    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\dnsq.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-08 16:13:45    執行應用程序      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:c:\program files\winrar\rar.exe
指令列:X "D:\Memory\Gibli\地海戰記\Tales_from_Earthsea.rar" "C:\WINDOWS\system32\com\bak\Tales_from_Earthsea.rar\" -r -inul -ibck -y
觸發規則:所有程序規則->*

調用 rar.exe 感染壓縮文件 內之檔案

2008-01-08 16:13:58    修改檔案      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:D:\Memory\saved files\SafeXP\SafeXPHelp-FR.htm
觸發規則:所有程序規則->全域設定_普通模式->*

開始感染 .htm 文件

2008-01-08 16:15:24    建立檔案      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

2008-01-08 16:15:51    刪除檔案      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:D:\MSOCache\All Users\90A40404-6000-11D3-8CFE-0150048383C9\ZQ636001.CAB
觸發規則:所有程序規則->全域設定_普通模式->*

刪除 .cab 文件

2008-01-08 16:15:54    建立登錄檔值      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
登錄檔名稱:PendingFileRenameOperations
登錄檔數值:\??\D:\MSOCache\All Users\90A40404-6000-11D3-8CFE-0150048383C9\ZQ636001.CAB
觸發規則:所有程序規則->系統設定_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2008-01-08 16:16:55    修改檔案      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:D:\test1\test1\ex1_v_summary.html
觸發規則:所有程序規則->全域設定_普通模式->*

開始感染 .html 文件

2008-01-08 16:17:39    執行應用程序      操作:允許
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\bak"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2008-01-08 16:18:45    執行應用程序      操作:封鎖
程序路徑:D:\lsass.exe.23031859.exe
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*

開始 ping 百度




兩個進程,互相保護!

[ 本帖最后由 a256886572008 于 2008-1-8 16:28 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Nblock
发表于 2008-1-8 16:11:07 | 显示全部楼层
看到这东东还是先闪了好  下次微点572再杀你   蜘蛛报
回复

举报

无尽藏海
发表于 2008-1-8 16:12:33 | 显示全部楼层
上报了……
回复

举报

剑书
头像被屏蔽
发表于 2008-1-8 16:14:39 | 显示全部楼层
这玩意又来了,继续上报
回复

举报

红心王子
发表于 2008-1-8 16:23:57 | 显示全部楼层
2008-1-8 16:23:31,Trojan.Kdcyy.g.daum,木马,Administrator,C:\Documents and Settings\Administrator\桌面\lsass[1].exe.23031859.rar>>lsass.exe.23031859.exe,Manual scan
回复

举报

千里同风
发表于 2008-1-8 16:38:22 | 显示全部楼层
这个不是从h**p://121.15.220.104/setup.exe下载的吧?
==========================
病毒名称:Virus.Win32.Xorer.du
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\音乐\SETUP\SETUP.EXE
是病毒程序!
已成功阻止其运行,是否要删除此文件?
回复

举报

Palkia
发表于 2008-1-8 16:47:52 | 显示全部楼层
C:\Documents and Settings\Administrator\桌面\lsass.exe.23031859.rar>>lsass.exe.23031859.exe        Trojan.Kdcyy.g.daum        木马        还未处理
回复

举报

Graybird
发表于 2008-1-8 17:27:20 | 显示全部楼层
The file 'lsass.exe.23031859.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Xorer.DE. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
回复

举报

fsr717af
发表于 2008-1-8 17:30:33 | 显示全部楼层
[:26:] 这玩意 生命力太强了
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-24 06:24 , Processed in 0.144491 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表