间谍SYE62.SYS

Nblock

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WLCTRL32\ DLLNAME  WLCTRL32.DLL D:\TEMP\BN39.TMP
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WLCTRL32\ STARTSHELL  WLEVENTSTARTSHELL D:\TEMP\BN39.TMP

雨宫优子

2.rar:
C:\Documents and Settings\***.18F12FE200FB45E\桌面\Anti-Virus lab\2.rar > RAR > 2.exe - Win32/Wigon.BI 特洛伊木马
衍生物：
C:\Documents and Settings\***.18F12FE200FB45E\桌面\Anti-Virus lab\衍生物.rar > RAR > SYE62.SYS - Win32/Wigon.BH 特洛伊木马 的变种
其它ESS过，上报ESET

[ 本帖最后由 aarwwefdds 于 2008-3-29 15:42 编辑 ]

tracydk

Start of the scan: 2008年3月29日  15:39

Starting the file scan:

Begin scan in 'F:\病毒样本\2.rar'
F:\病毒样本\2.rar
  [0] Archive type: RAR
  --> 2.exe
      [DETECTION] Is the Trojan horse TR/Drop.Agent.wof
      [INFO]      The file was moved to '485ff256.qua'!
Begin scan in 'F:\病毒样本\衍生物.rar'
F:\病毒样本\衍生物.rar
  [0] Archive type: RAR
  --> BN39.TMP
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
  --> WLCTRL32.DLL
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  --> SYE62.SYS
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [INFO]      The file was moved to 'ba576748.qua'!

Joker

C:\Documents and Settings\Administrator\桌面\衍生物.rar>>BN39.TMP        Trojan.Pandex.jmcb        木马        还未处理
C:\Documents and Settings\Administrator\桌面\衍生物.rar>>SYE62.SYS        TrojanDownloader.Agent.lxa.iugw        木马        还未处理

kkgh

诺顿全杀

挪威的冬天

信息        2008-03-29  16:38:23        您此次查毒清除了1个病毒                       
信息        2008-03-29  16:38:23        您此次查毒共查出1个病毒以及危险代码                       
信息        2008-03-29  16:38:23        您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件7个                       
信息        2008-03-29  16:38:23        金山毒霸主程序查毒过程结束，查毒方式：命令行查毒                       
病毒        2008-03-29  16:38:23        D:\Desktop\2.rar\2.exe        Win32.TrojDownloader.Mutant.bf.11776        清除成功

yangpizhi

FP挂，等会打包上报。。。FP病毒处理速度好慢。。。昨晚的，到现在还没有结果。。。

aerbeisi

原帖由 yangpizhi 于 2008-3-29 16:43 发表
FP挂，等会打包上报。。。FP病毒处理速度好慢。。。昨晚的，到现在还没有结果。。。

我前几天上报了近一个月的样本，大概有60M这样，他们的速度还可以，第二天可以杀一部分，第三天又可以杀一部分，第四天又杀了一部分。他们是挑着分析的。还有不要上报到support邮箱，请直接上报到viruslab邮箱。

黄金马甲出租

似乎和以前的ｒｕｎｔｉｍｅ有点像，不过这个是驱动吐了一个WLCtrl32.dll，勾了ｆｓｄ，写注册表

[ 本帖最后由 黄金马甲出租 于 2008-3-29 17:00 编辑 ]

yangpizhi

原帖由 aerbeisi 于 2008-3-29 16:55 发表

我前几天上报了近一个月的样本，大概有60M这样，他们的速度还可以，第二天可以杀一部分，第三天又可以杀一部分，第四天又杀了一部分。他们是挑着分析的。还有不要上报到support邮箱，请直接上报到viruslab邮箱。

原来如此