自用电脑抓到的木马

好想用EMSI

大AVG秒抓，根本点不开

微光丶

2016/5/30 星期一 21:04:35        文件系统实时防护       
文件        C:\Users\L\Desktop\dadada.exe        Win32/TrojanDownloader.Agent.CKO 特洛伊木马 的变种        通过删除清除        L-PC\L       
在应用程序新建的文件上发生事件: C:\Program Files\2345Soft\HaoZip\HaoZip.exe (28DCEF55FF0778DCF50F795C76C1EE2FBB03BDB5).        A354D134E12522D58C3A302204A111C6F8AF3003

zzs20020430

666666666666!

saga3721

红伞杀'TR/Spy.Agent.86016.123 [trojan]' ，DLL报损坏文件

尘梦幽然

→龍少爺→ 发表于 2016-5-30 14:00
我想说，我联系了下卖这个木马的人，确定了这是一款远控。 免杀做的不错，那么多软件没检测出来。

[:336 ...

Developer Notes:

OutLook.rar is a container file e.g. archive, email

dadada.exe is a non-repairable threat.

NetSyst96.dll is not malicious itself, but may be an artifact of a threat.

然后呢，你这里的exe文件大部分杀毒软件都能检测了，估计也是只能过得了360。。这个免杀水平大概并不怎么样。。
那个dll不是PE文件，也不能算作是恶意软件。但它可能是恶意软件的一个组件。

经过核实，dadada.exe也会生成一个NetSyst96.dll，但是它的md5应该要是68a97234777c0f035506fd508a36223c

而你这里的NetSyst96.dll的md5是8c19d83ff359a1b77cb06939c2e5f0cb。

经过核查，有多个已知的恶意文件可以生成md5是8c19d83ff359a1b77cb06939c2e5f0cb的NetSyst96.dll，所以推断你的电脑里面可能还有别的恶意软件存在。建议继续排查，必要时向你的杀毒软件厂商申请技术支持。

简略分析结果由Symantec Security Response给出。

pal家族

尘梦幽然 发表于 2016-5-31 12:59
Developer Notes:

表示exe卡巴都没报，还是上报才入库的
dll同样认为是安全的。

New record,
dadada.exe_ - Trojan-Downloader.Win32.Agent.hgtr
The detection will be published in next update. thanks。

尘梦幽然

pal家族 发表于 2016-5-31 13:07
表示exe卡巴都没报，还是上报才入库的
dll同样认为是安全的。

我25L更新了。
微软MSE报了啊。卡巴斯基那边是你上报的吗？

pal家族

尘梦幽然 发表于 2016-5-31 13:10
我25L更新了。
微软MSE报了啊。卡巴斯基那边是你上报的吗？

是的撒

thorne

这样啊，原来卡饭可以上传病毒求认认证啊。我也上传一个。过种基本同楼主一样。只是ＥＳＥＴ没有查出来，反倒是360安全卫士给扫出来的。
这个木马会在C:\Program Files下创建一个叫ＰＯＰ的文件夹。请参考我在火狐官网报出的帖子。http://mozilla.com.cn/forum.php? ... mp;page=1#pid363839
那个是隐藏在破解ｏｆｆｉｃｅ2016里的整个文件。病毒不能与文件分离。我也没那个本事。不过，因为几乎不在网上买东西。所以破解后的ｏｆｆｉｃｅ倒是用的很顺心。我解决的方法是安装360安全卫士的意图直接删除ＰＯＰ的文件，就没事儿了。
想上传，发现卡饭不能一次性上传大于500ＫＢ的文件。没办法，只有找到了我下载这个软件的原网址啦。http://down.51cto.com/data/2102189
哪位大神看一看，这个木马危害性大不大？

→龍少爺→

thorne 发表于 2016-5-31 14:14
这样啊，原来卡饭可以上传病毒求认认证啊。我也上传一个。过种基本同楼主一样。只是ＥＳＥＴ没有查出来，反 ...

你最好单独开个帖子哦，