我可算中毒了，而且是超nb的[md5:ab07cd]

mofunzone

实际上antivir杀掉了，可惜的是我在整理样本的时候antivir关掉了，后果很惨淡
估计是因为缓存里面还有病毒，结果我关掉的时候antivir还没拦截，关掉之后病毒运行了，不幸的是，生成的一个最重要的文件v8漏掉了，v7是可以杀的，我快吐血了，等一会一个一个把文件发上来，现在正在整理中，索性本人经验丰富，icesword+sreng+unlocker搞定了
现在发第一个样本，病毒的主体，一个下载者，antivir拦了，但是我关监控造成漏过去的一个
p.s 非常后悔装上the world，果然ie内核的无法让人放心，上mininova找种子居然也会中毒，而且不明不白的。。

File:	xpre.rar
Status:	POSSIBLY INFECTED/MALWARE
MD5:	ab07cd8c1c3e5f761c103b28e63a35a1
Packers detected:	EXECRYPTOR
Bit9 reports:	File not found
Scanner results
Scan taken on 25 Jan 2008 07:34:08 (GMT)
A-Squared	Found nothing
AntiVir	Found TR/Crypt.XPACK.Gen
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found nothing
BitDefender	Found nothing
ClamAV	Found nothing
CPsecure	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Fortinet	Found nothing
Ikarus	Found Trojan-Downloader.Win32.VB.atp
Kaspersky Anti-Virus	Found nothing
NOD32	Found nothing
Norman Virus Control	Found nothing
Panda Antivirus	Found nothing
Rising Antivirus	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

冷冷

  这回没有杀错，它行为像下载者！

I:\virus\test\xpre.exe - Signature 'Trojan-Downloader.Win32.VB.atp' found
1 File scanned
   (0 Archives with 0 files)
1 Signature found
0 Suspect code-parts found
Used time: 0:00.000









因为行为太多  只发比较主要的

[ 本帖最后由 冷_冷 于 2008-1-25 19:08 编辑 ]

llgiggs

原帖由 冷_冷 于 2008-1-25 15:40 发表
沙发
留个位置 请听下回分解

搬個板凳靜觀SSM運行報告

leonfg

LZ真幸运

IllusionWing

首先是检测调试器，然后终止杀软，再然后是downloader 的行为

UGuard AutoProtect R3Defender v1.9.0 - 开始防护在2008年1月25日15时46分14秒
级别：3，xpre.exe 试图 打开受保护的文件 \\.\SICE 。 - 允许
级别：6，xpre.exe 试图 打开受保护的文件 \\.\NTICE 。 - 允许
级别：9，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
级别：12，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
级别：15，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Cookies\index.dat 。 - 允许
级别：18，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Cookies\index.dat 。 - 允许
级别：21，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 。 - 允许
级别：24，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 。 - 允许
级别：29，xpre.exe 试图 打开受保护的进程 avp.exe 。 - 允许
级别：33，xpre.exe 试图 终止受保护的进程 avp.exe 。 - 允许
级别：39，xpre.exe 试图 打开受保护的进程 avp.exe 。 - 允许
级别：43，xpre.exe 试图 终止受保护的进程 avp.exe 。 - 允许
级别：47，xpre.exe 试图 打开受保护的文件 \\.\Ip 。 - 允许
级别：50，xpre.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\K5M7MZ0P\const[1].htm 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：50。
级别：53，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\system32\mlang.dat 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：53。
级别：56，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\ARIAL.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：56。
级别：59，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\ARIAL.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：59。
级别：62，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\ARIALBD.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：62。
级别：65，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\ARIALBI.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：65。
级别：68，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\ARIALI.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：68。
级别：71，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\COUR.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：71。
级别：74，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\COUR.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：74。
级别：77，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\COURBD.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：77。
级别：80，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\COURBI.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：80。
级别：83，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\COURI.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：83。
级别：86，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\LUCON.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：86。
级别：89，xpre.exe 试图 打开受保护的文件 C:\WINDOWS\fonts\LUCON.TTF 。 - 允许
信息：在 xpre.exe 发现 可能的 Generic.Invader，级别：89。

...略过若干

[ 本帖最后由 gankeyu 于 2008-1-25 15:49 编辑 ]

leonfg

这东西怎么上来就要动我的jre？
2008-01-25 15:46:59    应用程序保护(结束/挂起进程)     操作:阻止
进程路径:C:\Documents and Settings\GUNDAM\Local Settings\Temp\Rar$EX00.203\xpre.exe
目标进程:C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[ 本帖最后由 leonfg 于 2008-1-25 15:50 编辑 ]

hj5abc

原来 没有在关闭浏览器后就清理缓村 有点危险 .

zwl2828

C:\Users\Wesley\Downloads\xpre.rar
  [0] Archive type: RAR
  --> xpre.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

solcroft

下载者免杀够牛，可惜不会穿墙，而且下来的东西n多杀软都能干掉

鱼是一只我

江民不认识～～～～