多数杀软不报

郁冰兰雪

laolaoliu

kis8.0.0.348没报. 不知时不时

mofunzone

antivir pass
恶性病毒，会感染exe貌似
上报antivir

solcroft

F-PROT pass

星之梦

只发现创建文件覆盖已有程序，和修改HKLM\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
HKUS\current\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

挪威的冬天

金山 0

saber123

00401000 > .  73684673      DD MSVBVM60.EVENT_SINK_GetIDsOfNames
00401004 > .  44594773      DD MSVBVM60.__vbaStrI2
00401008 > .  FCB14873      DD MSVBVM60._CIcos
0040100C > .  8D694873      DD MSVBVM60._adj_fptan
00401010 > .  6E984973      DD MSVBVM60.__vbaVarMove
00401014 > .  9E104973      DD MSVBVM60.__vbaFreeVar
00401018 > .  CE493B73      DD MSVBVM60.__vbaLenBstr
0040101C > .  74B14973      DD MSVBVM60.__vbaLateIdCall
00401020 > .  0D543B73      DD MSVBVM60.__vbaStrVarMove
00401024 > .  429E4773      DD MSVBVM60.__vbaPut3
00401028 > .  73104973      DD MSVBVM60.__vbaFreeVarList
0040102C > .  B0DB3B73      DD MSVBVM60.__vbaEnd
00401030 > .  4E624873      DD MSVBVM60._adj_fdiv_m64
00401034 > .  91684673      DD MSVBVM60.EVENT_SINK_Invoke
00401038 > .  8FB14973      DD MSVBVM60.__vbaRaiseEvent
0040103C > .  C9663B73      DD MSVBVM60.__vbaFreeObjList
00401040 > .  D5684873      DD MSVBVM60._adj_fprem1
00401044 > .  04114973      DD MSVBVM60.__vbaVarCmpNe
00401048 > .  27543B73      DD MSVBVM60.__vbaStrCat
0040104C > .  24734673      DD MSVBVM60.__vbaSetSystemError
00401050 > .  71EB4673      DD MSVBVM60.__vbaNameFile
00401054 > .  E14B3B73      DD MSVBVM60.__vbaHresultCheckObj
00401058 > .  02624873      DD MSVBVM60._adj_fdiv_m32
0040105C > .  E96A4673      DD MSVBVM60.Zombie_GetTypeInfo
00401060 > .  F51F4773      DD MSVBVM60.__vbaAryDestruct
00401064 > .  A7663B73      DD MSVBVM60.__vbaExitProc
00401068 > .  85B94973      DD MSVBVM60.__vbaVarForInit
0040106C > .  2C453B73      DD MSVBVM60.__vbaOnError
00401070 > .  E3423B73      DD MSVBVM60.__vbaObjSet
00401074 > .  9A624873      DD MSVBVM60._adj_fdiv_m16i
00401078 > .  98453B73      DD MSVBVM60.__vbaObjSetAddref
0040107C > .  9A634873      DD MSVBVM60._adj_fdivr_m16i
00401080 > .  DF7E3B73      DD MSVBVM60.rtcDoEvents
00401084 > .  57114973      DD MSVBVM60.__vbaBoolVarNull
00401088 > .  64B34873      DD MSVBVM60._CIsin
0040108C > .  DF483B73      DD MSVBVM60.rtcMidCharBstr
00401090 > .  99A14873      DD MSVBVM60.rtcInStrRev
00401094 > .  B3C04773      DD MSVBVM60.rtcSpaceBstr
00401098 > .  03B44773      DD MSVBVM60.rtcMidCharVar
0040109C > .  AF443B73      DD MSVBVM60.__vbaChkstk                  ;  ASCII "QWP="
004010A0 > .  D5633B73      DD MSVBVM60.__vbaFileClose
004010A4 > .  6FD83A73      DD MSVBVM60.EVENT_SINK_AddRef
004010A8 > .  84C24773      DD MSVBVM60.rtcUpperCaseBstr
004010AC > .  A4C24773      DD MSVBVM60.rtcUpperCaseVar
004010B0 > .  07224773      DD MSVBVM60.__vbaGenerateBoundsError
004010B4 > .  13483B73      DD MSVBVM60.__vbaStrCmp
004010B8 > .  A5244773      DD MSVBVM60.__vbaAryConstruct2
004010BC > .  B49E4773      DD MSVBVM60.__vbaPutOwner3
004010C0 > .  E6BB4973      DD MSVBVM60.__vbaVarTstEq
004010C4 > .  B89D3B73      DD MSVBVM60.__vbaObjVar
004010C8 > .  9BE24673      DD MSVBVM60.__vbaPrintObj
004010CC > .  DE493B73      DD MSVBVM60.__vbaI2I4
004010D0 > .  C1274773      DD MSVBVM60.rtcIsNumeric
004010D4 > .  78B73A73      DD MSVBVM60.DllFunctionCall
004010D8 > .  42BB4973      DD MSVBVM60.__vbaVarOr
004010DC > .  80B34973      DD MSVBVM60.__vbaVarLateMemSt
004010E0 > .  8A694873      DD MSVBVM60._adj_fpatan
004010E4 > .  25B14973      DD MSVBVM60.__vbaLateIdCallLd
004010E8 > .  F16A4673      DD MSVBVM60.Zombie_GetTypeInfoCount
004010EC > .  85E33B73      DD MSVBVM60.EVENT_SINK_Release
004010F0 > .  10463B73      DD MSVBVM60.__vbaNew
004010F4 > .  337C4673      DD MSVBVM60.rtcShell
004010F8 > .  09B44873      DD MSVBVM60._CIsqrt
004010FC > .  36114973      DD MSVBVM60.__vbaVarAnd
00401100 > .  7C674673      DD MSVBVM60.EVENT_SINK_QueryInterface
00401104 > .  5B4E3B73      DD MSVBVM60.__vbaExceptHandler
00401108 > .  076F4673      DD MSVBVM60.__vbaStrToUnicode
0040110C > .  1D664873      DD MSVBVM60._adj_fprem
00401110 > .  4E634873      DD MSVBVM60._adj_fdivr_m64
00401114 > .  D8634773      DD MSVBVM60.__vbaI2Str
00401118 > .  DC8E3B73      DD MSVBVM60.rtcCreateObject2
0040111C > .  7F9D4973      DD MSVBVM60.__vbaFPException
00401120 > .  767E4873      DD MSVBVM60.GetMemEvent
00401124 > .  7C694773      DD MSVBVM60.__vbaStrVarVal
00401128 > .  C5B04773      DD MSVBVM60.__vbaVarCat
0040112C > .  69954773      DD MSVBVM60.__vbaI2Var
00401130 > .  69624773      DD MSVBVM60.rtcBstrFromAnsi
00401134 > .  6E823B73      DD MSVBVM60.rtcDir
00401138 > .  A1B24873      DD MSVBVM60._CIlog
0040113C > .  D2904673      DD MSVBVM60.__vbaErrorOverflow
00401140 > .  82583B73      DD MSVBVM60.__vbaFileOpen
00401144 > .  99573B73      DD MSVBVM60.rtcFreeFile
00401148 > .  ACC73A73      DD MSVBVM60.__vbaNew2
0040114C > .  61B34973      DD MSVBVM60.__vbaVarLateMemCallLdRf
00401150 > .  9C493A73      DD MSVBVM60.__vbaInStr
00401154 > .  95644773      DD MSVBVM60.__vbaR8Str
00401158 > .  CE624873      DD MSVBVM60._adj_fdiv_m32i
0040115C > .  CE634873      DD MSVBVM60._adj_fdivr_m32i
00401160 > .  F6443B73      DD MSVBVM60.__vbaStrCopy
00401164 > .  09644773      DD MSVBVM60.__vbaI4Str
00401168 > .  B0483B73      DD MSVBVM60.__vbaFreeStrList
0040116C > .  7CE64673      DD MSVBVM60.rtcFileCopy
00401170 > .  02634873      DD MSVBVM60._adj_fdivr_m32
00401174 > .  3D5D4873      DD MSVBVM60._adj_fdiv_r
00401178 > .  44513B73      DD MSVBVM60.rtcErrObj
0040117C > .  3EDE3973      DD MSVBVM60.ThunRTMain
00401180 > .  FE0F4973      DD MSVBVM60.__vbaVarTstNe
00401184 > .  C4054773      DD MSVBVM60.__vbaVarSetVar
00401188 > .  77954773      DD MSVBVM60.__vbaI4Var
0040118C > .  F9BC4973      DD MSVBVM60.__vbaVarCmpEq
00401190 > .  A2134973      DD MSVBVM60.__vbaLateMemCall
00401194 > .  F8804873      DD MSVBVM60.PutMemEvent
00401198 > .  CA164973      DD MSVBVM60.__vbaVarDup
0040119C > .  36B83A73      DD MSVBVM60.__vbaStrToAnsi
004011A0 > .  CD814873      DD MSVBVM60.SetMemEvent
004011A4 > .  3C144973      DD MSVBVM60.__vbaVarCopy
004011A8 > .  45B34973      DD MSVBVM60.__vbaVarLateMemCallLd
004011AC > .  4DB24973      DD MSVBVM60.__vbaLateMemCallLd
004011B0 > .  F1493B73      DD MSVBVM60.rtcLeftCharVar
004011B4 > .  36B14873      DD MSVBVM60._CIatan
004011B8 > .  5E473B73      DD MSVBVM60.__vbaStrMove
004011BC > .  71B34773      DD MSVBVM60.rtcRightCharVar
004011C0 > .  EA204873      DD MSVBVM60._allmul
004011C4 > .  BAB44873      DD MSVBVM60._CItan
004011C8 > .  B3B94973      DD MSVBVM60.__vbaVarForNext
004011CC > .  350F4873      DD MSVBVM60._CIexp
004011D0 > .  FE473B73      DD MSVBVM60.__vbaFreeStr
004011D4 > .  D7503B73      DD MSVBVM60.__vbaFreeObj

saber123

ESI=00402B8C (QQGameop.00402B8C), ASCII "VB5!6&vb6chs.dll"
在7C8024E1    56              PUSH ESI                                 ; QQGameop.00402B8C处再次出现


DS:[7FFDE010]=00020000
ESI=00402B8C (QQGameop.00402B8C), ASCII "VB5!6&vb6chs.dll"
在7C801F03    8B70 10         MOV ESI,DWORD PTR DS:[EAX+10]出现

堆栈 [0012FF0C]=00402B8C (QQGameop.00402B8C), ASCII "VB5!6&vb6chs.dll"
ESI=00020000
在7C80250D    5E              POP ESI                                  ; QQGameop.00402B8C出现

没有加壳。。Microsoft Visual Basic 5.0 / 6.0。。。但不排除有欺骗性质

[ 本帖最后由 saber123 于 2008-4-22 15:29 编辑 ]

saber123

在2000端口监听远程IP：127.0.0.1的2000端口。。。

查询的地址貌似用了代理：本机地址 CZ88.NET

监听是UDP

傻猪猪米走鸡

2008-4-22 15:41:14        内核        文件 'D:\firefox download\virus1.rar' 已发送到 ESET 进行分析。