iwi穿还原 微点bug 有微点的来试试

Nblock

大家测试下 我的怎么报后门 应该还有一个驱动才对？ 又找到了一个微点bug （最后一图） 行为判断哪里出问题了 病毒名称 Trojan-Downloader.Win32.Delf.iwi 捕获时间 2008-02-14 病毒症状     该程序是使用Delphi编写的木马程序，采用UPX加壳试图躲避特征码扫描，加壳后长度21,504字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。 病毒分析     该样本被执行后，将驱动文件“~46.tmp”（46是一个随机值）释放到％Temp％目录下，调用SCM写注册表将~46.tmp注册成名为sys_flt的windows内核服务,并通过相关API启动；服务启动后创建磁盘设备“\Device\yyy2”，创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄；拷贝自身到开始->附件->启动组中，打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘，利用CopyFileA函数将“%Temp%\~46.tmp”及启动组中的病毒文件拷贝到“\\.\yyy2”中，以达到突破还原卡的目的；在“%SystemRoot%\System32\”下释放批处理文件Deletedll.bat，执行后删除“%Temp%\~46.tmp”和Deletedll.bat；病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马,文件捆绑 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Delf.iwi”，请直接选择删除（如图2）。 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 3、开启windows自动更新，及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

[ 本帖最后由 Nblock 于 2008-2-16 21:50 编辑 ]

爱是辣舞

沙发 。

无尽藏海

F-PROT Antivirus for Windows

Antivirus Scanning Engine version number: 4.4.2
Virus signature file from: 2008-2-16, 4:21

Scan name: [Custom Scan]
Path to scan: F:\virus\新突破还原卡.rar

Normal scan
Also scan: Inside subfolders, Compressed files, Streams

Scan started: 2008-2-16, 21:37:39
---------------------------------------------------------------------

[Found downloader]         <W32/Banload.B.gen!Eldorado (not disinfectable, generic)>        F:\virus\新突破还原卡.rar->新突破还原卡.EXE->(Aspack)->(UPX)
[Contains infected objects]        F:\virus\新突破还原卡.rar
[Quarantined]        F:\virus\新突破还原卡.rar->新突破还原卡.EXE->(Aspack)->(UPX)

---------------------------------------------------------------------
Scan ended:        2008-2-16, 21:37:42
Duration:        0:00:03

Scan result:

Scanned files:                 1
Infected objects:         1
Disinfected objects:         0
Quarantined files:         1

qigang

rising20.31.50未发现。

woai_jolin

"Scan ""Shell extension scan"" was finished."
"Infections found:";"2"
"Infected objects removed or healed";"2"
"Not removed or healed.";"0"
"Spyware found:";"0"
"Spyware removed:";"0"
"Not removed:";"0"
"Warnings count:";"0"
"Information count:";"0"
"Scan started:";"2008年2月16日, 21:36:22"
"Total object scanned:";"2"
"Time needed:";"less than one second"
"Errors encountered:";"0"

"Infections"
"File";"Infection";"Result"
"G:\v\新突破还原卡.rar:\新突破还原卡.EXE";"Trojan horse Downloader.Generic6.AIHA";"Moved to Virus Vault"
"G:\v\新突破还原卡.rar";"Trojan horse Downloader.Generic6.AIHA";"Moved to Virus Vault"

冷冷

蜘蛛
新突破还原卡.EXE;I:\virus\February\新突破还原卡;可能 DLOADER.Trojan;;
~~~~~~~~~~~~~~~~~~~~
脱了两个壳
沙盘里无法运行

[ 本帖最后由 冷_冷 于 2008-2-16 21:44 编辑 ]

无尽藏海

对AVG 8.0 有想法
现在很生猛嘛

woai_jolin

AVG8.0很有潜力

wolffshen

FS结果: 找到 1 恶意软件
Trojan-Downloader.Win32.Delf.epw (病毒)
D:\Virus\Test\新突破还原卡.EXE 操作: 删除

yitp

Start of the scan: 2008年2月16日  21:41

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\新突破还原卡.rar'
C:\Documents and Settings\Administrator\桌面\新突破还原卡.rar
  [0] Archive type: RAR
  --> &ETH;&Acirc;&Iacute;&raquo;&AElig;&AElig;&raquo;&sup1;&Ocirc;&shy;&iquest;¨.EXE
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]      The file was deleted!