大家看一下这个文件

显示全部楼层 · 发表于 2008-3-29 06:11:10

这个文件是一个关闭指定进程的程序

设计的行为如下：
1、将程序复制到%systemroot%下；
2、注册开机自启动
3、调用的一些API OpenProcess
4、列举进程

还有一些忘记了，运行后需要用ctrl+alt+f9 ，唤出程序

没事上报到Avira，却被回复为（判定）TR/Spy.Agent.keb.2 ，不知道为什么被判定为木马
请大家看一下！谢谢

显示全部楼层 · 发表于 2008-3-29 07:29:25

E:\virus\svchost.rar » RAR » svchost.exe - is OK
E:\virus\svchost.rar:Zone.Identifier - is OK

显示全部楼层 · 发表于 2008-3-29 07:39:48

AhnLab-V3	2008.3.29.0	2008.03.28	-
AntiVir	7.6.0.78	2008.03.28	TR/Spy.Agent.keb.2
Authentium	4.93.8	2008.03.28	-
Avast	4.7.1098.0	2008.03.28	-
AVG	7.5.0.516	2008.03.28	-
BitDefender	7.2	2008.03.29	-
CAT-QuickHeal	9.50	2008.03.28	-
ClamAV	0.92.1	2008.03.29	-
DrWeb	4.44.0.09170	2008.03.28	-
eSafe	7.0.15.0	2008.03.18	suspicious Trojan/Worm
eTrust-Vet	31.3.5653	2008.03.29	-
Ewido	4.0	2008.03.28	-
F-Prot	4.4.2.54	2008.03.28	-
F-Secure	6.70.13260.0	2008.03.28	-
FileAdvisor	1	2008.03.29	-
Fortinet	3.14.0.0	2008.03.28	-
Ikarus	T3.1.1.20	2008.03.28	-
Kaspersky	7.0.0.125	2008.03.28	-
McAfee	5262	2008.03.28	-
Microsoft	1.3301	2008.03.28	Trojan:Win32/Malagent
NOD32v2	2982	2008.03.28	-
Norman	5.80.02	2008.03.28	-
Panda	9.0.0.4	2008.03.28	Suspicious file
Prevx1	V2	2008.03.29	Heuristic: Suspicious File With Persistence
Rising	20.37.41.00	2008.03.28	-
Sophos	4.28.0	2008.03.28	Mal/Behav-053
Sunbelt	3.0.978.0	2008.03.18	-
Symantec	10	2008.03.28	-
TheHacker	6.2.92.257	2008.03.27	-
VBA32	3.12.6.3	2008.03.25	-
VirusBuster	4.3.26:9	2008.03.28	-
Webwasher-Gateway	6.6.2	2008.03.28	Trojan.Spy.Agent.keb.2

显示全部楼层 · 发表于 2008-3-29 07:44:51

不知道为什么被判定为木马

显示全部楼层 · 发表于 2008-3-29 08:45:28

我个人认为就是这个名字吧，

显示全部楼层 · 发表于 2008-3-29 09:26:02

个人觉得这个太明显是木马了，复制到c盘windows下，想要判断是不是误报扔卡巴斯基就知道了

显示全部楼层 · 发表于 2008-3-29 09:48:34

Hello,

svchost.exe_ - Trojan.Win32.Pakes.cmp

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Kirill Erakhtin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

> Attachment: svchost.rar

显示全部楼层 · 发表于 2008-3-29 10:09:54

它顶掉了系统文件?...

金山 MISS

既然卡巴也回报病毒那赶紧上报去咯 ^^

显示全部楼层 · 发表于 2008-3-29 10:18:11

显示全部楼层 · 发表于 2008-3-29 10:32:45

原帖由 mofunzone 于 2008-3-29 09:26 发表
个人觉得这个太明显是木马了，复制到c盘windows下，想要判断是不是误报扔卡巴斯基就知道了

但是，这个是正常程序啊.....没什么行为

[其他相关] 大家看一下这个文件

本帖子中包含更多资源

本帖子中包含更多资源