挖掘最新“小浩”病毒

显示全部楼层 · 发表于 2008-4-26 23:37:34

赶紧上报。

显示全部楼层 · 发表于 2008-4-27 00:11:30

这个病毒有专杀没有我中毒了

显示全部楼层 · 发表于 2008-4-27 08:41:45

哎，7.0卡巴无视。。

显示全部楼层 · 发表于 2008-4-27 10:06:50

卡巴今天早上能杀了

其实我已经运行此病毒了..貌似也自己解决问题了..样本没有解决..今早起来强行升级卡巴后把样本查杀

Scan : completed
----------------
Scanned: 3
Detected: 1
Untreated: 0
Start time: 2008-4-27 10:03:57
Duration: 00:00:06
Finish time: 2008-4-27 10:04:03

Detected
--------
Status Object
------ ------
deleted: virus Worm.Win32.AutoRun.dnb File: C:\Documents and Settings\Administrator\桌面\XiaoHao.rar/XiaoHao.exe

Events
------
Time Name Status Reason
---- ---- ------ ------

Statistics
----------
Object Scanned Dangerous objects Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- ----------------- --------- ------- ------------------- -------- ------------ ------------------ ---------

Settings
--------
Parameter Value
--------- -----
Security Level Custom
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives all
Scan embedded OLE objects all
Do not scan archives larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives Yes
Use iChecker technology Yes
Use iSwift technology Yes
Register information about dangerous objects in application statistics Yes
Rootkit scan Yes
Extended rootkit scan Yes
Use heuristic analyser Yes
Heuristic analyser level 10

显示全部楼层 · 发表于 2008-4-27 10:09:55

原帖由 Redevil 于 2008-4-26 22:43 发表

怎么样？你以为改时间后卡巴还会挂？

显然已经不可能了
只不过病毒作者消息不灵通
不知道而已

其实卡巴7.0.1.325系统被该时间后KEY还是显示失效..但貌似是假实效..升级病毒库没有问题..

显示全部楼层 · 发表于 2008-4-27 10:22:11

木马名称:未知木马

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

显示全部楼层 · 发表于 2008-4-27 10:33:38

2008-04-27 10:23:54       注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Default]

2008-04-27 10:23:54       文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
文件路径:C:\windows\system32\exloroe.com

2008-04-27 10:23:54       注册表保护(删除注册表)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]

2008-04-27 10:23:54       注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:exloroe

2008-04-27 10:23:54       注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
注册表名称:NoBrowserOptions
2008-04-27 10:23:54       注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
注册表名称:NoBrowserOptions

2008-04-27 10:23:54       注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommon Groups
注册表名称:NoCommon Groups

2008-04-27 10:23:54       注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr

2008-04-27 10:23:54       注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools

2008-04-27 10:23:54       注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden

2008-04-27 10:23:54       应用程序保护(修改系统时间)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
更改后系统时间:2005-4-27 2:23

2008-04-27 10:23:55       文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
文件路径:C:\autorun.inf

2008-04-27 10:23:55       文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
文件路径:D:\autorun.inf

2008-04-27 10:23:55       文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\XiaoHao.exe
文件路径:E:\autorun.inf

[ 本帖最后由 scottxzt 于 2008-4-27 10:42 编辑 ]

显示全部楼层 · 发表于 2008-4-27 10:41:41

原帖由 zwl2828 于 2008-4-26 16:24 发表
0000077C 0040137C    0 Xiaohao.com
00000788 00401388    0 autorun.inf
00000794 00401394    0 shell\Auto\command=Xiaohao.com
000007B8 004013B8    0 shellexecute=Xiaohao.com
...

请问这是用什么工具看到的啊？

显示全部楼层 · 发表于 2008-4-27 10:46:51

原帖由 vdream 于 2008-4-27 10:41 发表

请问这是用什么工具看到的啊？

BinText

显示全部楼层 · 发表于 2008-4-27 15:03:51

瑞星无视小浩(耗)...

[病毒样本] 挖掘最新“小浩”病毒

看看动作