不法分子利用地震为幌子放Hupigon, AVIRA PASS

aaad2008

Win32:Hupigon-DKZ [Trj]

雨宫优子

内裤穿得再好
运行时也得脱下来...
2008-5-18 16:34:59        文件系统实时防护        文件        C:\Sandbox\***\DefaultBox\drive\C\WINDOWS\temp\11.exe        Win32/Hupigon 特洛伊木马 的变种        通过删除清除 - 已隔离        NT AUTHORITY\SYSTEM        在应用程序新建的文件上发生事件: C:\Documents and Settings\***.18F12FE200FB45E\桌面\Anti-Virus lab\Run virus lab\汶川地震实录.exe.

爱卡巴888

病毒能免杀，人就不能免杀了！

tanlimo

00001273 176.52645874 进程PID为：680,打开文件：C:\windows\system32\conime.exe
00001274 176.53111267 进程PID为：680,打开文件：C:\windows\system32\conime.exe
00001275 176.54559326 进程PID为：680,打开文件：C:\
00001276 176.54766846 进程PID为：680,打开文件：C:\windows\
00001277 176.63862610 进程PID为：1880,打开文件：C:\windows\system32\Msimtf.dll
00001278 176.66206360 进程PID为：1880,打开文件：C:\windows\Resources\themes\Luna\Shell\NormalColor\ShellStyle.dll
00001279 176.68106079 进程PID为：1880,打开文件：C:\windows\Resources\themes\Luna\Shell\NormalColor\ShellStyle.dll
00001280 176.93836975 进程PID为：1880,打开文件：C:\WINDOWS\Temp\
00001281 176.94116211 进程PID为：1880,注册表操作：创建项,路径是："",成功标志：成功
00001282 177.11994934 进程PID为：1880,注册表操作：创建项,路径是："",成功标志：成功
00001283 177.16902161 进程PID为：1880,注册表操作：创建项,路径是："",成功标志：成功
00001284 177.19767761 进程PID为：1880,打开文件：C:\windows\system32\rundll32.exe
00001285 177.19863892 进程PID为：1880,路径为：C:\windows\system32\rundll32.exe,创建线程ID为：912,地址是：0x7c94798d
00001286 177.22956848 进程PID为：1880,打开文件：C:\windows\system32\rundll32.exe
00001287 177.23030090 进程PID为：1880,路径为：C:\windows\system32\rundll32.exe,创建线程ID为：892,地址是：0x7c930760
00001288 177.25045776 进程PID为：1880,读文件操作：路径是：C:\WINDOWS\Temp\22.jpg,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001289 177.27627563 进程PID为：1880,打开文件：C:\WINDOWS\Temp\22.jpg
00001290 177.35607910 进程PID为：1880,读文件操作：路径是：C:\WINDOWS\Temp\22.jpg,文件游标位置是：0x0,读入字节数：0xe0c8,成功标志：成功
00001291 177.43556213 进程PID为：1880,打开文件：C:\windows\system32\mscms.dll
00001292 177.49629211 进程PID为：1880,打开文件：C:\windows\system32\WINSPOOL.DRV
00001293 177.90431213 进程PID为：680,打开文件：C:\windows\system32\
00001294 177.93536377 进程PID为：680,打开文件：C:\
00001295 177.93830872 进程PID为：680,打开文件：C:\windows\
00001296 177.94229126 进程PID为：680,打开文件：C:\windows\System32\
00001297 177.97467041 进程PID为：680,对进程PID为：400,路径是：C:\windows\system32\conime.exe,写内存操作地址是：0x10000,写入2138字节,数据为：=::=::\,成功标志：失败
00001298 177.97721863 进程PID为：680,对进程PID为：400,路径是：C:\windows\system32\conime.exe,写内存操作地址是：0x20000,写入1660字节,数据为：?,成功标志：失败
00001299 177.97909546 进程PID为：680,对进程PID为：400,路径是：C:\windows\system32\conime.exe,写内存操作地址是：0x7ffd8010,数据为：0x3AEDF4,写入0x4字节,成功标志：失败
00001300 177.98124695 进程PID为：680,对进程PID为：400,路径是：C:\windows\system32\conime.exe,写内存操作地址是：0x30000,写入388字节,数据为：ShimEng.dll,成功标志：失败
00001301 177.98323059 进程PID为：680,对进程PID为：400,路径是：C:\windows\system32\conime.exe,写内存操作地址是：0x7ffd81e8,数据为：0x3AEDF0,写入0x4字节,成功标志：失败
00001302 177.99450684 进程PID为：680,打开文件：C:\windows\system32\conime.exe
00001303 177.99620056 子进程已经启动,PID为：400,路径为：C:\windows\system32\conime.exe ,启动地址是：0x1005cb5,启动状态为：正常
00001304 178.00871277 进程PID为：400,读文件操作：路径是：C:\windows\Prefetch\CONIME.EXE-13EEEA1A.pf,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001305 178.01042175 进程PID为：400,打开文件：C:\windows\Prefetch\CONIME.EXE-13EEEA1A.pf
00001306 178.01242065 进程PID为：400,读文件操作：路径是：C:\windows\Prefetch\CONIME.EXE-13EEEA1A.pf,文件游标位置是：0x0,读入字节数：0x2cae,成功标志：成功
00001307 178.10122681 进程PID为：400,打开文件：
00001308 178.14859009 进程PID为：400,打开文件：
00001309 178.15110779 进程PID为：400,打开文件：C:\
00001310 178.15350342 进程PID为：400,打开文件：C:\WINDOWS\
00001311 178.15591431 进程PID为：400,打开文件：C:\WINDOWS\APPPATCH\
00001312 178.16171265 进程PID为：400,打开文件：C:\WINDOWS\SYSTEM32\
00001313 178.23291016 进程PID为：400,打开文件：C:\windows\temp\
00001314 178.24775696 进程PID为：400,打开文件：C:\windows\system32\IMM32.dll
00001315 178.25712585 进程PID为：400,打开文件：C:\windows\system32\ShimEng.dll
00001316 178.26147461 进程PID为：400,读文件操作：路径是：C:\windows\AppPatch\sysmain.sdb,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001317 178.26336670 进程PID为：400,打开文件：C:\windows\AppPatch\sysmain.sdb
00001318 178.27201843 进程PID为：400,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001319 178.37910461 进程PID为：400,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001320 178.43684387 进程PID为：400,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001321 178.53709412 进程PID为：400,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001322 178.55741882 进程PID为：400,打开文件：C:\windows\system32\WINMM.dll
00001323 178.57298279 进程PID为：400,打开文件：C:\windows\system32\MSACM32.dll
00001324 178.58929443 进程PID为：400,打开文件：C:\windows\system32\UxTheme.dll
00001325 178.62269592 进程PID为：400,打开文件：C:\windows\system32\LPK.DLL
00001326 178.66142273 进程PID为：400,打开文件：C:\windows\system32\USP10.dll
00001327 178.68040466 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001328 178.68447876 进程PID为：400,注册表操作：设置项值,路径是："",值是：Seed,成功标志：成功
00001329 178.68733215 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001330 178.69520569 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001331 178.69578552 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001332 178.69645691 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001333 178.69679260 进程PID为：400,注册表操作：创建项,路径是："",成功标志：成功
00001334 178.86827087 进程PID为：400,打开文件：C:\windows\system32\SHELL32.dll
00001335 178.91647339 进程PID为：400,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
00001336 178.92527771 进程PID为：400,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
00001337 178.93074036 进程PID为：400,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
00001338 178.93972778 进程PID为：400,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001339 178.95002747 进程PID为：400,打开文件：C:\windows\WindowsShell.Manifest
00001340 178.95336914 进程PID为：400,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001341 178.95504761 进程PID为：400,打开文件：C:\windows\WindowsShell.Manifest
00001342 178.96623230 进程PID为：400,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001343 178.96890259 进程PID为：400,打开文件：C:\windows\WindowsShell.Manifest
00001344 178.99630737 进程PID为：400,打开文件：C:\windows\system32
00001345 179.02571106 进程PID为：400,打开文件：C:\WINDOWS\system32\MSCTF.dll
00001346 179.03102112 进程PID为：400,打开文件：C:\WINDOWS\system32\MSCTF.dll
00001347 179.04310608 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001348 179.04780579 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001349 179.05311584 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001350 179.05769348 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001351 179.06307983 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001352 179.06773376 进程PID为：400,打开文件：C:\windows\system32\msctfime.ime
00001353 179.08590698 进程PID为：680,打开文件：C:\
00001354 179.08815002 进程PID为：680,打开文件：C:\WINDOWS\
00001355 179.09356689 进程PID为：680,打开文件：C:\
00001356 179.09591675 进程PID为：680,打开文件：C:\windows\
00001357 179.09870911 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001358 179.10079956 进程PID为：680,打开文件：C:\
00001359 179.10287476 进程PID为：680,打开文件：C:\windows\
00001360 179.10557556 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001361 179.11712646 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001362 179.13343811 进程PID为：680,打开文件：C:\
00001363 179.13586426 进程PID为：680,打开文件：C:\windows\temp\
00001364 179.14157104 进程PID为：680,读文件操作：路径是：C:\windows\temp\11.exe,文件游标位置是：0x0,准备读入字节数：0x200,成功标志：失败
00001365 179.14361572 进程PID为：680,删除文件操作：文件路径是：C:\windows\temp\11.exe,成功标志：成功
00001366 179.14967346 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001367 179.16874695 进程PID为：680,打开文件：C:\windows\temp\
00001368 179.17349243 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001369 179.18804932 进程PID为：680,打开文件：C:\
00001370 179.19018555 进程PID为：680,打开文件：C:\windows\
00001371 179.19462585 进程PID为：680,打开文件：C:\windows\uninstal.bat
00001372 179.19905090 进程PID为：680,删除文件操作：文件路径是：C:\windows\uninstal.bat,成功标志：成功
00001373 184.54121399 进程PID为：1880,注册表操作：创建项,路径是："",成功标志：成功
00001374 184.54832458 进程PID为：1880,注册表操作：设置项值,路径是："",值是：Bounds,成功标志：成功
00001375 184.55110168 进程PID为：1880,注册表操作：设置项值,路径是："",值是：Maximize,成功标志：成功
00001376 184.75550842 进程PID为：344,打开文件：C:\windows\temp\rav.bat
00001377 184.88763428 进程PID为：344,打开文件：C:\windows\temp\
00001378 184.89543152 进程PID为：344,打开文件：C:\windows\temp\
00001379 184.94189453 进程PID为：344,打开文件：C:\windows\system32\
00001380 185.00134277 进程PID为：344,打开文件：C:\windows\system32\
00001381 185.02046204 进程PID为：344,打开文件：C:\windows\system32\
00001382 185.02592468 进程PID为：344,打开文件：C:\windows\temp\
00001383 185.04150391 进程PID为：344,打开文件：C:\windows\temp\
00001384 185.04345703 进程PID为：344,打开文件：C:\windows\system32\
00001385 185.05206299 进程PID为：344,打开文件：C:\windows\system32\
00001386 185.05894470 进程PID为：344,打开文件：C:\windows\system32\
00001387 185.08424377 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001388 185.09278870 进程PID为：344,读文件操作：路径是：C:\windows\AppPatch\sysmain.sdb,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001389 185.10025024 进程PID为：344,打开文件：C:\windows\AppPatch\sysmain.sdb
00001390 185.10693359 进程PID为：344,打开文件：C:\windows\system32\
00001391 185.10932922 进程PID为：344,打开文件：C:\
00001392 185.11582947 进程PID为：344,打开文件：C:\windows\
00001393 185.12307739 进程PID为：344,打开文件：C:\windows\system32\
00001394 185.13304138 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001395 185.14132690 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001396 185.19483948 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001397 185.22605896 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001398 185.23599243 进程PID为：344,打开文件：C:\
00001399 185.24612427 进程PID为：344,打开文件：C:\windows\
00001400 185.26667786 进程PID为：344,打开文件：C:\windows\system32\
00001401 185.27810669 进程PID为：344,打开文件：C:\
00001402 185.42729187 进程PID为：344,打开文件：C:\windows\
00001403 185.42924500 进程PID为：344,打开文件：C:\windows\System32\
00001404 185.49884033 进程PID为：344,对进程PID为：740,路径是：C:\windows\system32\ping.exe,写内存操作地址是：0x10000,写入2138字节,数据为：=::=::\,成功标志：失败
00001405 185.50099182 进程PID为：344,对进程PID为：740,路径是：C:\windows\system32\ping.exe,写内存操作地址是：0x20000,写入1592字节,数据为：?,成功标志：失败
00001406 185.50309753 进程PID为：344,对进程PID为：740,路径是：C:\windows\system32\ping.exe,写内存操作地址是：0x7ffd7010,数据为：0x12EAE4,写入0x4字节,成功标志：失败
00001407 185.50517273 进程PID为：344,对进程PID为：740,路径是：C:\windows\system32\ping.exe,写内存操作地址是：0x30000,写入388字节,数据为：ShimEng.dll,成功标志：失败
00001408 185.50701904 进程PID为：344,对进程PID为：740,路径是：C:\windows\system32\ping.exe,写内存操作地址是：0x7ffd71e8,数据为：0x12EAE0,写入0x4字节,成功标志：失败
00001409 185.51400757 进程PID为：344,打开文件：C:\windows\system32\ping.exe
00001410 185.51512146 子进程已经启动,PID为：740,路径为：C:\windows\system32\ping.exe ,启动地址是：0x10028c6,启动状态为：正常
00001411 185.52330017 进程PID为：740,读文件操作：路径是：C:\windows\Prefetch\PING.EXE-31216D26.pf,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001412 185.52503967 进程PID为：740,打开文件：C:\windows\Prefetch\PING.EXE-31216D26.pf
00001413 185.52711487 进程PID为：740,读文件操作：路径是：C:\windows\Prefetch\PING.EXE-31216D26.pf,文件游标位置是：0x0,读入字节数：0x3018,成功标志：成功
00001414 185.61332703 进程PID为：740,打开文件：
00001415 185.66213989 进程PID为：740,打开文件：
00001416 185.66419983 进程PID为：740,打开文件：C:\
00001417 185.66664124 进程PID为：740,打开文件：C:\WINDOWS\
00001418 185.66964722 进程PID为：740,打开文件：C:\WINDOWS\APPPATCH\
00001419 185.67454529 进程PID为：740,打开文件：C:\WINDOWS\SYSTEM32\
00001420 185.67881775 进程PID为：740,打开文件：C:\WINDOWS\WINSXS\
00001421 185.68141174 进程PID为：740,打开文件：C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2180_X-WW_A84F1FF9\
00001422 185.79183960 进程PID为：740,打开文件：C:\windows\temp
00001423 185.95114136 进程PID为：740,打开文件：C:\windows\system32\iphlpapi.dll
00001424 185.96343994 进程PID为：740,打开文件：C:\windows\system32\WS2_32.dll
00001425 185.97041321 进程PID为：740,打开文件：C:\windows\system32\WS2HELP.dll
00001426 185.97714233 进程PID为：740,打开文件：C:\windows\system32\ShimEng.dll
00001427 185.99336243 进程PID为：740,读文件操作：路径是：C:\windows\AppPatch\sysmain.sdb,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001428 185.99504089 进程PID为：740,打开文件：C:\windows\AppPatch\sysmain.sdb
00001429 186.01069641 进程PID为：740,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001430 186.02064514 进程PID为：740,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001431 186.02838135 进程PID为：740,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001432 186.03657532 进程PID为：740,打开文件：C:\windows\AppPatch\AcGenral.DLL
00001433 186.04499817 进程PID为：740,打开文件：C:\windows\system32\WINMM.dll
00001434 186.05360413 进程PID为：740,打开文件：C:\windows\system32\MSACM32.dll
00001435 186.06283569 进程PID为：740,打开文件：C:\windows\system32\UxTheme.dll
00001436 186.08294678 进程PID为：740,打开文件：C:\windows\system32\IMM32.DLL
00001437 186.08862305 进程PID为：740,打开文件：C:\windows\system32\IMM32.DLL
00001438 186.09333801 进程PID为：740,打开文件：C:\windows\system32\IMM32.DLL
00001439 186.10334778 进程PID为：740,打开文件：C:\windows\system32\LPK.DLL
00001440 186.10934448 进程PID为：740,打开文件：C:\windows\system32\USP10.dll
00001441 186.12187195 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001442 186.12548828 进程PID为：740,注册表操作：设置项值,路径是："",值是：Seed,成功标志：成功
00001443 186.12731934 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001444 186.13037109 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001445 186.13063049 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001446 186.13111877 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001447 186.13133240 进程PID为：740,注册表操作：创建项,路径是："",成功标志：成功
00001448 186.13964844 进程PID为：740,打开文件：C:\windows\system32\SHELL32.dll
00001449 186.22810364 进程PID为：740,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
00001450 186.24125671 进程PID为：740,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
00001451 186.24671936 进程PID为：740,打开文件：C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
00001452 186.30874634 进程PID为：740,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001453 186.31312561 进程PID为：740,打开文件：C:\windows\WindowsShell.Manifest
00001454 186.31694031 进程PID为：740,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001455 186.31935120 进程PID为：740,打开文件：C:\windows\WindowsShell.Manifest
00001456 186.32322693 进程PID为：740,读文件操作：路径是：C:\windows\WindowsShell.Manifest,文件游标位置是：0x0,读入字节数：0x200,成功标志：成功
00001457 186.32511902 进程PID为：740,打开文件：C:\windows\WindowsShell.Manifest
00001458 186.86137390 进程PID为：740,打开文件：C:\windows\system32\mswsock.dll
00001459 187.04443359 进程PID为：740,打开文件：C:\windows\system32\mswsock.dll
00001460 187.11204529 进程PID为：740,打开文件：C:\windows\system32\hnetcfg.dll
00001461 187.14414978 进程PID为：740,打开文件：C:\windows\System32\wshtcpip.dll
00001462 187.16191101 进程PID为：740,打开文件：C:\windows\System32\wshtcpip.dll
00001463 190.26504517 进程PID为：344,打开文件：C:\windows\temp\rav.bat
00001464 190.27575684 进程PID为：344,读文件操作：路径是：C:\windows\temp\rav.bat,文件游标位置是：0xa9,准备读入字节数：0x2000,成功标志：失败
00001465 190.28285217 进程PID为：344,打开文件：C:\windows\temp\
00001466 190.28550720 进程PID为：344,打开文件：C:\windows\temp\rav.vbs
00001467 190.28950500 进程PID为：344,删除文件操作：文件路径是：C:\windows\temp\rav.vbs,成功标志：成功
00001468 190.29168701 进程PID为：344,打开文件：C:\windows\temp\rav.bat
00001469 190.29347229 进程PID为：344,删除文件操作：文件路径是：C:\windows\temp\rav.bat,成功标志：成功
00001470 190.30444336 进程PID为：344,读文件操作：路径是：C:\windows\temp\22.jpg,文件游标位置是：0x0,准备读入字节数：0x200,成功标志：失败
00001471 190.30632019 进程PID为：344,删除文件操作：文件路径是：C:\windows\temp\22.jpg,成功标志：成功

spaceplane

解压出来应该都能杀

granthill

那个好像是修改的文件头

granthill

这个和刚才那个应该是同一个东西
是个 rar自解压
只不过修改了 文件头
修复一下 就会得到 病毒文件

sam.to

Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com

htshandong

过红伞和AVG
郁闷

Palkia

危险进程(PID:2008): C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.204\汶川地震实录.exe

产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名

危险级别: 高
级别评分: 56.418880
状态: 进程已被结束，但还没有清除，等待进一步处理。

建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。

如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。