微点 红伞同时报的

无尽藏海

30:04:2008 22:16:46 SEARCHTASK "USER_DEFINED" started...
scan item: E:\VIRUS\QQ靓号申请机.rar
File scanned: E:\VIRUS\QQ靓号申请机.rar - SIGNATURE FOUND "Virus.Win32.Agent.GZY"
30:04:2008 22:16:46 SEARCHTASK "USER_DEFINED" FINISHED...
----------------------------------------------------
Directories scanned: 0
Files scanned: 1
Virus found: 1
----------------------------------------------------

qigang

RS20.42.22未杀！

sun88990

McAfee:
New Win32

Lefi

原帖由 543217 于 2008-4-30 21:41 发表
卡饭软件区下的，不知道是不是报壳

spiha

全局鉤子一個 其他無

6、WH_JOURNALPLAYBACK Hook
    WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装，正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局Hook，它不能象线程特定Hook一样使用。WH_JOURNALPLAYBACK Hook返回超时值，这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间（毫秒）。这就使Hook可以控制实时事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks，它們不會被注射到任何行程位址空間。

老實說不覺得這個是病毒 從邏輯上來說...

----------

抓了一下封包
還在開著QQ.exe登陸狀態下讓它全局鉤子
然后輸入假密碼登上去 也沒發現有發可以封包的痕跡
而且每點提交申請一次就全局鉤子一次 估計只是用來模擬鍵盤的而已吧？

-----------
再繼續監視了一陣子
除了自機IP 和 121.14.77.102（騰訊IP不信自己上） 以外都沒有出站行為

----------
難道卡巴那邊只看見QQ和WH_JOURNALPLAYBACK就判定是qqpass么 ...
....

[ 本帖最后由 spiha 于 2008-5-1 03:04 编辑 ]

zwl2828

给KL要求重新分析

konbini

EAV,金山都PASS,安铁诺报了

fcerebel

反正nod32 passd

sbbdms

奇怪了，明明卡巴的工程师说New malicious software，怎么到了现在还不入库？？少见。。。。
TO KL AGAIN。。。。

sbbdms

虽然第一次卡巴工程师回复说是New malicious software，可是过了2天时间卡巴仍没有入库。再次发送卡巴，结果是：
Hello.
No malicious software was found in the attached file. It was false detection.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com


> Attachment: QQ?????.rar