很新的1只木马,快点上报吧...

蔚藍領域

sbbdms

Kaspersky miss
TO KL

Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com


> Attachment: MALINER.rar

[ 本帖最后由 sbbdms 于 2008-5-10 18:16 编辑 ]

qerqa

avira miss

雨宫优子

2008-5-10 18:00:49        内核        文件 'C:\Documents and Settings\***.18F12FE200FB45E\桌面\Anti-Virus lab\Safe lab\MALINER\MALINER.exe' 已发送到 ESET 进行分析。

tracydk

AhnLab-V3 2008.5.10.0 2008.05.10 - AntiVir 7.8.0.17 2008.05.09 - Authentium 4.93.8 2008.05.10 - Avast 4.8.1169.0 2008.05.10 - AVG 7.5.0.516 2008.05.10 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.09 - ClamAV 0.92.1 2008.05.10 - DrWeb 4.44.0.09170 2008.05.10 Trojan.PWS.Gamania.origin eSafe 7.0.15.0 2008.05.09 - eTrust-Vet 31.4.5771 2008.05.08 - Ewido 4.0 2008.05.10 - F-Prot 4.4.2.54 2008.05.10 - F-Secure 6.70.13260.0 2008.05.09 - Fortinet 3.14.0.0 2008.05.10 - Ikarus T3.1.1.26 2008.05.10 Backdoor.Win32.Small.GS Kaspersky 7.0.0.125 2008.05.10 - McAfee 5292 2008.05.10 - Microsoft 1.3408 2008.05.10 - NOD32v2 3090 2008.05.09 - Norman 5.80.02 2008.05.09 - Panda 9.0.0.4 2008.05.10 Suspicious file Prevx1 V2 2008.05.10 - Rising 20.43.51.00 2008.05.10 - Sophos 4.29.0 2008.05.10 Sus/DelpDldr-A Sunbelt 3.0.1097.0 2008.05.07 - Symantec 10 2008.05.10 - TheHacker 6.2.92.305 2008.05.08 - VBA32 3.12.6.5 2008.05.10 - VirusBuster 4.3.26:9 2008.05.09 - Webwasher-Gateway 6.6.2 2008.05.09 -

雨宫优子

1. 00001AD0   004026D0      0   SOFTWARE\Borland\Delphi\RTL
   
2. 00001AEC   004026EC      0   FPUMaskValue
   
3. 00002CE4   004038E4      0   %TEMP%\inst00.dat
   
4. 00002F6C   00403B6C      0   qj_inst00_exe delete self...
   
5. 00002F8C   00403B8C      0   qj_inst00_exe
   
6. 00002F9C   00403B9C      0   qj_inst00_exe is running...
   
7. 00002FB8   00403BB8      0   SOFTWARE\Blizzard Entertainment\World of Warcraft
   
8. 00002FF4   00403BF4      0   InstallPath
   
9. 00003008   00403C08      0   wow.exe
   
10. 000061A4   0080C1A4      0   SOFTWARE\Borland\Delphi\RTL
    
11. 000061C0   0080C1C0      0   FPUMaskValue
    
12. 00007AE8   0080DAE8      0   TPatch.Destroy()
    
13. 00007C38   0080DC38      0   DoPacth.asmcode[0]<>0
    
14. 00007C50   0080DC50      0   DoPacth.DoMakeShellCode
    
15. 00007C68   0080DC68      0   DoPacth.DoCompareMem
    
16. 00007C80   0080DC80      0   DoPacth.VirtualProtect
    
17. 000080DE   0080E0DE      0   ./Getmb.asp
    
18. 0000811E   0080E11E      0   ./readmb.asp
    
19. 00008594   0080E594      0   http://
    
20. 000087C8   0080E7C8      0   MyApp
    
21. 000087D0   0080E7D0      0   Accept: */*
    
22. 000087DC   0080E7DC      0   HTTP/1.0
    
23. 000087F0   0080E7F0      0   Content-Type: application/x-www-form-urlencoded
    
24. 00009E64   0080FE64      0   cn4.grunt.wowchina.com
    
25. 00009E8C   0080FE8C      0   cn6.grunt.wowchina.com
    
26. 00009EB4   0080FEB4      0   cn3.grunt.wowchina.com
    
27. 00009EDC   0080FEDC      0   cn5.grunt.wowchina.com
    
28. 0000AC54   00810C54      0   http://www.wowkkek.com/index/222/flash.asp
    
29. 0000AC80   00810C80      0   http://www.wowkkek.com/index/222/GetMb.asp
    
30. 0000ACAC   00810CAC      0   http://www.wowkkek.com/index/222/readMb.asp
    
31. 0000ACF0   00810CF0      0   game.start...
    
32. 0000AD00   00810D00      0   game.restore()!
    
33. 0000AD10   00810D10      0   game.CopyPJ()!
    
34. 0000AD20   00810D20      0   game.DoPatchPJ()!
    
35. 0000AD34   00810D34      0   game.DoPatchUM()!
    
36. 0000AD48   00810D48      0   game.DoPatchPnBJ()!
    
37. 0000AD5C   00810D5C      0   game.DoPatchPnSX()!
    
38. 0000AD70   00810D70      0   game.DoPatchMBH()!
    
39. 0000AD84   00810D84      0   game.DoPatchMBM()!
    
40. 0000AD98   00810D98      0   game.DoPatchMBMQC()!
    
41. 0000ADB0   00810DB0      0   game.DoPatchSEND()!
    
42. 0000ADC4   00810DC4      0   game.DoPatchDX()!
    
43. 0000AF60   00810F60      0   Runtime error     at 00000000

复制代码

怀疑是WOW病毒

28654621

费尔完全不认识

scottxzt

MALINER.rar\MALINER.exe;C:\Documents and Settings\Administrator\桌面\MALINER.rar;Trojan.PWS.Gamania.origin;;
MALINER.rar;C:\Documents and Settings\Administrator\桌面;发现压缩文件中有被感染的对象;;

hellobaby

rs:0

scottxzt

加壳方式：UPack

　　编写语言：Microsoft Visual C++ 6.0

　　病毒类型：魔兽世界盗号木马

　　文件MD5：06fbc12f0fa935b93844f9aea6e1a0e0

　　病毒描述：

　　该病毒由VC编写，激活后于C:\Program Files\NetMeeting\生成副本，并修改注册表，开机启动。通过检测网游魔兽世界的进程(Wow.exe)，记录其键盘输入(密码)操作，保存至avpms.cfg并发送木马作者。

　　行为分析：

　　1、释放病毒副本：

　　C:\Program Files\NetMeeting\avpms.cfg 824 字节

　　C:\Program Files\NetMeeting\avpms.dat 8258 字节

　　C:\Program Files\NetMeeting\avpms.exe 116368 字节

　　2、添加注册表，开机自启：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms

　　注册表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "

　　3、avpms.dat注入Explorer，设置全局挂钩，检测魔兽世界游戏进程启动，并监视其键盘(帐号密码)输入操作。

　　4、保存的键盘操作，保存至avpms.cfg，并发送外部。

　　解决方法：

　　1、 http://gudugengkekao.ys168.com/下载

　　PowerRmv和SREng

　　2、打开PowerRmv，选上抑制对象生成，填入：

　　C:\Program Files\NetMeeting\avpms.cfg

　　C:\Program Files\NetMeeting\avpms.dat

　　C:\Program Files\NetMeeting\avpms.exe

　　2、打开SREng，删除：

　　注册表：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　3、重启电脑，修改魔兽世界密码。(如果有)
文件名称：avpms.exe
　　文件大小：13872 bytes
　　病毒命名：
　　卡巴斯基—Trojan-PSW.Win32.WOW.abn
　　AVG—PSW.OnlineGames.OCF
　　DrWeb—Trojan.PWS.Wsgame.origin

[ 本帖最后由 scottxzt 于 2008-5-10 19:04 编辑 ]