收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 机器狗logonDLL.dll穿透还原——2008年系列最新流行病毒 ...
123下一页
返回列表 发新帖
楼主: 5551551
 收起左侧

[病毒样本] 机器狗logonDLL.dll穿透还原——2008年系列最新流行病毒查杀报告之一

[复制链接]
spaceplane
发表于 2008-2-16 21:15:19 | 显示全部楼层
NOD飘
回复

举报

sam.to
发表于 2008-2-16 21:16:19 | 显示全部楼层
楼主很详细
回复

举报

Nblock
发表于 2008-2-16 21:28:35 | 显示全部楼层
驱动呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

woai_jolin
发表于 2008-2-16 21:30:09 | 显示全部楼层
"Scan ""Shell extension scan"" was finished."
"Infections found:";"2"
"Infected objects removed or healed";"2"
"Not removed or healed.";"0"
"Spyware found:";"0"
"Spyware removed:";"0"
"Not removed:";"0"
"Warnings count:";"0"
"Information count:";"0"
"Scan started:";"2008年2月16日, 21:27:24"
"Total object scanned:";"2"
"Time needed:";"less than one second"
"Errors encountered:";"0"

"Infections"
"File";"Infection";"Result"
"G:\v\logonDLL.dll穿透还原.rar:\logonDLL.dll穿透还原.exe";"Trojan horse Downloader.Generic6.AIHA";"Moved to Virus Vault"
"G:\v\logonDLL.dll穿透还原.rar";"Trojan horse Downloader.Generic6.AIHA";"Moved to Virus Vault"
回复

举报

qianwenxiang
发表于 2008-2-16 21:52:23 | 显示全部楼层
--------------------------------------------------
***** Installing Hooks *****        
71a270df     RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\WinSock2\Parameters)        
71a27cc4     RegOpenKeyExA (Protocol_Catalog9)        
71a2737e     RegOpenKeyExA (00000004)        
71a2724d     RegOpenKeyExA (Catalog_Entries)        
71a278ea     RegOpenKeyExA (000000000001)        
71a278ea     RegOpenKeyExA (000000000002)        
71a278ea     RegOpenKeyExA (000000000003)        
71a278ea     RegOpenKeyExA (000000000004)        
71a278ea     RegOpenKeyExA (000000000005)        
71a278ea     RegOpenKeyExA (000000000006)        
71a278ea     RegOpenKeyExA (000000000007)        
71a278ea     RegOpenKeyExA (000000000008)        
71a278ea     RegOpenKeyExA (000000000009)        
71a278ea     RegOpenKeyExA (000000000010)        
71a278ea     RegOpenKeyExA (000000000011)        
71a278ea     RegOpenKeyExA (000000000012)        
71a278ea     RegOpenKeyExA (000000000013)        
71a278ea     RegOpenKeyExA (000000000014)        
71a278ea     RegOpenKeyExA (000000000015)        
71a278ea     RegOpenKeyExA (000000000016)        
71a278ea     RegOpenKeyExA (000000000017)        
71a22623     WaitForSingleObject(770,0)        
71a283c6     RegOpenKeyExA (NameSpace_Catalog5)        
71a27f5b     RegOpenKeyExA (Catalog_Entries)        
71a280ef     RegOpenKeyExA (000000000001)        
71a280ef     RegOpenKeyExA (000000000002)        
71a280ef     RegOpenKeyExA (000000000003)        
71a22623     WaitForSingleObject(768,0)        
71a11afa     RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\Winsock2\Parameters)        
71a11996     GlobalAlloc()        
7c80b689     ExitThread()        
412b78     LoadLibraryA(KERNEL32.DLL)=7c800000        
412b78     LoadLibraryA(advapi32.dll)=77da0000        
412b78     LoadLibraryA(ole32.dll)=76990000        
412b78     LoadLibraryA(oleaut32.dll)=770f0000        
412b78     LoadLibraryA(URLMON.DLL)=420b0000        
412b78     LoadLibraryA(user32.dll)=77d10000        
4044a8     GetCommandLineA()        
5addef89     GetCurrentProcessId()=2196        
5adcb1ba     IsDebuggerPresent()        
7468270a     GetVersionExA()        
74683107     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\Compatibility\logonDLL.dll穿透还原.exe)        
74683107     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\SystemShared\)        
746824b9     CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
746824b9     CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
746824b9     CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
746824b9     CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
746824b9     CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
74683107     RegOpenKeyExA (HKCU\Keyboard Layout\Toggle)        
7468266a     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\)        
746846ce     GetCurrentProcessId()=2196        
746824b9     CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1957994488-1078145449-682003330-1002MUTEX.DefaultS-1-5-21-1957994488-1078145449-682003330-1002)        
7469d63b     WaitForSingleObject(740,1388)        
746b603a     GetCurrentProcessId()=2196        
405d57     CreateFileA(c:\windows\temp\~81.tmp)        
405d92     WriteFile(h=738)        
404f10     CreateFileA(\\.\c:)        
405096     CreateFileA(\\.\yyy2)        
405308     CreateFileA(\\.\yyy2)        
77e6f486     RegOpenKeyExA (HKLM\Software\Microsoft\Rpc)        
4034c7     ExitProcess()        
74681d78     GetCurrentProcessId()=2196        
74681fdf     GetCurrentProcessId()=2196        
5adcadb2     GetCurrentProcessId()=2196        
***** Injected Process Terminated *****        
exitprocess得好快,不给面子

ps.个人觉得应该是用SetFileTime这个函数改文件创建时间的
再ps.没找到生成的logondll.dll,api监控也没有这个createfile记录

[ 本帖最后由 qianwenxiang 于 2008-2-17 15:13 编辑 ]
回复

举报

挪威的冬天
发表于 2008-2-16 21:53:55 | 显示全部楼层
金山 MISS
回复

举报

saber123
发表于 2008-2-16 21:55:11 | 显示全部楼层
卡巴斯基反病毒软件 7.0 The requested URL http://bbs.kafan.cn/attachment.php?aid=201926 is infected with Trojan-Downloader.Win32.Delf.epw virus
回复

举报

chabosh
发表于 2008-2-16 23:39:45 | 显示全部楼层
文件 logonDLL.dll____________.rar 接收于 2008.02.16 16:21:27 (CET)
反病毒引擎版本最后更新扫描结果
AhnLab-V32008.2.16.102008.02.15-
AntiVir7.6.0.672008.02.15TR/Delphi.Downloader.Gen
Authentium4.93.82008.02.15Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast4.7.1098.02008.02.15-
AVG7.5.0.5162008.02.15Downloader.Generic6.AIGZ
BitDefender7.22008.02.16Generic.Malware.Bdld.3324224C
CAT-QuickHealNone2008.02.16TrojanDownloader.Delf.epw
ClamAV0.92.12008.02.16-
DrWeb4.44.0.091702008.02.16DLOADER.Trojan
eSafe7.0.15.02008.02.14Win32.Delf.epw
eTrust-Vet31.3.55412008.02.15-
Ewido4.02008.02.16-
FileAdvisor12008.02.16-
Fortinet3.14.0.02008.02.16-
F-Prot4.4.2.542008.02.15W32/Downloader-WebExe-based!Maximus
F-Secure6.70.13260.02008.02.15Trojan-Downloader.Win32.Delf.epw
IkarusT3.1.1.202008.02.16Trojan-Spy.Win32.Delf.GI
Kaspersky7.0.0.1252008.02.16Trojan-Downloader.Win32.Delf.epw
McAfee52312008.02.15-
Microsoft1.32042008.02.16TrojanDownloader:Win32/Small.gen!Z
NOD32v228802008.02.15-
Norman5.80.022008.02.15-
Panda9.0.0.42008.02.16Suspicious file
Prevx1V22008.02.16-
Rising20.31.50.002008.02.16-
Sophos4.26.02008.02.16Mal/DelpDldr-F
Sunbelt2.2.907.02008.02.14-
Symantec102008.02.16Downloader
TheHacker6.2.9.2212008.02.15-
VBA323.12.6.12008.02.14suspected of Embedded.Trojan-Downloader.Win32.Delf.eqf
VirusBuster4.3.26:92008.02.15-
Webwasher-Gateway6.6.22008.02.15Trojan.Delphi.Downloader.Gen


[ 本帖最后由 chabosh 于 2008-2-16 23:41 编辑 ]
回复

举报

0112809
发表于 2008-2-17 03:23:52 | 显示全部楼层
Trojan-Downloader.Win32.Delf.epw
卡巴  主动防御禁止了
回复

举报

shuipao
发表于 2008-2-17 11:21:15 | 显示全部楼层

回复 1楼 5551551 的帖子

这个病毒把冰点的logonDLL.dll文件替换了吗?
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-8 03:14 , Processed in 0.104728 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表