收到可疑文件一个

显示全部楼层 · 发表于 2008-5-17 01:03:06

Norman Sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window \"NULL [class IEFrame]\" on desktop.
* File length: 46080 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\gos0899.tmp.
* Creates file C:\WINDOWS\TEMP\win8199.tmp.

[ Changes to registry ]
* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\MSSMGR\\".
* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\".

[ Process/window information ]
* Creates a mutex 3024.
* Creates a mutex m3d5rt10.
* Modifies memory in process explorer.exe.
* Creates a thread in process explorer.exe.

沙盘运行结果如上

显示全部楼层 · 发表于 2008-5-17 01:04:23

AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.16 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 Trojan.Mezzia.CY
CAT-QuickHeal 9.50 2008.05.15 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 Suspicious File
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 W32/Malware
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 Trojan.Crypt.PEC2X
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3105 2008.05.16 -
Norman 5.80.02 2008.05.16 W32/Malware
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Sus/UnkPacker
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.16 -
Webwasher-Gateway 6.6.2 2008.05.16 Trojan.Crypt.XPACK.Gen

显示全部楼层 · 发表于 2008-5-17 11:55:19

Avk

Trojan-Downloader.Win32.Agent.pge (AVP引擎)

Avira

Trojan horse TR/Crypt.XPACK.Gen

显示全部楼层 · 发表于 2008-5-17 13:22:44

危险进程(PID:2636): C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.422\汶川灾区实录.exe

产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名

危险级别: 高
级别评分: 56.418880
状态: 进程已被结束，但还没有清除，等待进一步处理。

建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。

如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。

汶川灾区实录.exe 43.10/43.10KB 100.00% 在线扫描它是一个“间谍程序”2008-5-17 13:22:28 2008-5-17 13:22:47

显示全部楼层 · 发表于 2008-5-17 14:10:40

显示全部楼层 · 发表于 2008-5-17 15:08:18

金山归西去

显示全部楼层 · 发表于 2008-5-17 15:09:11

诺顿闪~

显示全部楼层 · 发表于 2008-5-17 15:13:08

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.437\汶川灾区实录.EXE
木马程序生成以下文件:
1) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\GOSC.TMP
2) C:\WINDOWS\SYSTEM32\WINWIM32.DLL
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2008-5-17 15:21:23

[Scanning : C:\Documents and Settings\All Users\Documents\Test]

C:\Documents and Settings\All Users\Documents\Test\汶川灾区实录.rar<RAR>:汶川灾区实录.exe <- Variant:Downloader.Agent.Ahk : No action

Scanned objects : 2

Infected objects : 1

显示全部楼层 · 发表于 2008-5-17 15:21:41

MISS

[病毒样本] 收到可疑文件一个

本帖子中包含更多资源

本帖子中包含更多资源

ArcaVir2008

F-Prot 6.0.9.0