伪FlashPlayer

显示全部楼层 · 发表于 2008-1-10 18:33:52

来自free.fr

WHOIS INFO
domain:    free.fr
address:    Proxad
address:    8, rue ville l'Eveque
address:    75008 Paris
address:    FR
admin-c:    ACP23-FRNIC
tech-c:    TCP8-FRNIC
zone-c:    NFC1-FRNIC
nserver:    freens1-g20.free.fr 212.27.60.19
nserver:    freens2-g20.free.fr 212.27.60.20
mnt-by:    FR-NIC-MNT
mnt-lower: FR-NIC-MNT
changed: 20060327
source:    FRNIC

显示全部楼层 · 发表于 2008-1-10 18:34:53

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.DL.Banload.oot

MAC 地址：00:17:31:40:A3:57

用户来源：局域网

软件版本：20.26.31

显示全部楼层 · 发表于 2008-1-10 18:35:51

Starting the file scan:

Begin scan in 'E:\Macromedia.Flash.Player.rar'
E:\Macromedia.Flash.Player.rar
  [0] Archive type: RAR
  --> Macromedia.Flash.Player.scr
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2008-1-10 18:37:58

D:\病毒测试\未解压样本\Macromedia.Flash.Player.rar » RAR » Macromedia.Flash.Player.scr - Win32/TrojanDownloader.Banload.NIX trojan

显示全部楼层 · 发表于 2008-1-10 18:42:56

显示全部楼层 · 发表于 2008-1-10 18:48:37

2008-01-10 18:40:25 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Macromedia.Flash.Player.scr
指令列:/S
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2008-01-10 18:40:38 執行應用程序    操作:允許
程序路徑:D:\Macromedia.Flash.Player.scr
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo Windows Registry Editor Version 5.00 > c:\tmp.reg
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2008-01-10 18:40:45 執行應用程序    操作:允許
程序路徑:D:\Macromedia.Flash.Player.scr
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >> c:\tmp.reg
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2008-01-10 18:40:49 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\tmp.reg
觸發規則:所有程序規則->全域設定_普通模式->*

2008-01-10 18:40:56 執行應用程序    操作:允許
程序路徑:D:\Macromedia.Flash.Player.scr
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo "MsnMsgr"="D:\\Macromedia.Flash.Player.scr" >> c:\tmp.reg
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2008-01-10 18:40:58 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\tmp.reg
觸發規則:所有程序規則->全域設定_普通模式->*

2008-01-10 18:41:03 執行應用程序    操作:允許
程序路徑:D:\Macromedia.Flash.Player.scr
檔案路徑:C:\WINDOWS\regedit.exe
指令列:/s c:\tmp.reg
觸發規則:所有程序規則->系統程式_黑名單->*\regedit.exe

tmp.reg的結構

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="D:\\Macromedia.Flash.Player.scr"

[ 本帖最后由 a256886572008 于 2008-1-10 18:50 编辑 ]

显示全部楼层 · 发表于 2008-1-10 18:54:30

kv2008～～～

显示全部楼层 · 发表于 2008-1-10 19:00:44

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.DL.Banload.oot

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.26.32

显示全部楼层 · 发表于 2008-1-10 19:27:54

kis7
已删除：木马程序 Trojan-Downloader.Win32.Delf.ww 文件　: C:\Documents and Settings\hp\桌面\Macromedia[1].Flash.Player.rar/Macromedia.Flash.Player.scr

显示全部楼层 · 发表于 2008-1-10 19:31:14

D:\1\样本\Macromedia[1].Flash.Player.rar\Macromedia.Flash.Player.scr - infected with Trojan.DownLoader.13552

Archive contains an infected item

[病毒样本] 伪FlashPlayer

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

2/1