360安全卫士论坛被人挂了2个木马真是难见到的画面!!!

显示全部楼层 · 发表于 2006-12-12 13:57:00

360安全卫士论坛被人挂了2个木马真是难见到的画面!!!

先看这个不同意见
http://www.kpfans.com/bbs/viewthread.php?tid=26191&page=1&extra=page%3D1#pid270087

12.12号凌晨2:30.我今天本来想看下什么程序与文件最近流行病毒.打开bbs.360safe.com站没想SSM报警.启动目录.真是少见了.查下什么东西.没想到木马来的!!!请大家看下咯

2个木马.一个sql.com /svchost.com 这个2个病毒!!我打包病毒上传杀毒检查!!

个大杀毒监控站分析结果

AntiVir 7.2.0.49 12.11.2006 TR/Crypt.NSAnti.Gen
Authentium 4.93.8 12.08.2006  no virus found
Avast 4.7.892.0 12.11.2006  no virus found
AVG 386 12.11.2006  no virus found
BitDefender 7.2 12.11.2006 Trojan.NSAnti.A
CAT-QuickHeal 8.00 12.11.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.11.2006  no virus found
DrWeb 4.33 12.11.2006 Trojan.PWS.Zhengtu
eSafe 7.0.14.0 12.11.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.81 12.09.2006  no virus found
eTrust-Vet 30.3.3244 12.11.2006  no virus found
Ewido 4.0 12.10.2006 Trojan.OnLineGames.cj
Fortinet 2.82.0.0 12.11.2006 suspicious
F-Prot 3.16f 12.08.2006  no virus found
F-Prot4 4.2.1.29 12.11.2006  no virus found
Ikarus T3.1.0.26 12.11.2006  no virus found
Kaspersky 4.0.2.24 12.11.2006  no virus found
McAfee 4916 12.11.2006  no virus found
Microsoft 1.1804 12.11.2006  no virus found
NOD32v2 1914 12.11.2006 a variant of Win32/PSW.Agent.NBJ
Norman 5.80.02 12.11.2006  no virus found
Panda 9.0.0.4 12.11.2006 Trj/Lineage.BQC
Prevx1 V2 12.11.2006  no virus found
Sophos 4.12.0 12.10.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006  no virus found
TheHacker 6.0.3.131 12.10.2006  no virus found
UNA 1.83 12.11.2006  no virus found
VBA32 3.11.1 12.10.2006 Trojan.PWS.Zhengtu
VirusBuster 4.3.15:9 12.11.2006 no virus found

SSM监控日志

报告· 2006-12-12

事件类型状态日期对象
通知  2006-12-12 3:08:07 通知程序关闭
默认规则 C:\Program Files\GOSURF2\gsfbwsr.exe

通知  2006-12-12 3:07:00 通知程序关闭
默认规则 C:\WINDOWS\system32\notepad.exe

程序活动已允许 2006-12-12 3:06:33 进程 C:\Program Files\GOSURF2\gsfbwsr.exe
操作创建进程
对象 C:\WINDOWS\system32\notepad.exe
命令行 "C:\WINDOWS\system32\notepad.exe" "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\PX82HVI7\index[1]"

程序活动已阻止 2006-12-12 3:06:30 进程 C:\Program Files\GOSURF2\gsfbwsr.exe
操作创建进程
对象 C:\Documents and Settings\Administrator\Local Settings\Temp\sql.com
命令行 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sql.com"

程序活动已阻止 2006-12-12 3:06:29 进程 C:\Program Files\GOSURF2\gsfbwsr.exe
操作创建进程
对象 C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
命令行 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 19:05 编辑 ]

显示全部楼层 · 发表于 2006-12-12 14:47:28

查了一下果真有这两个文件

显示全部楼层 · 发表于 2006-12-12 14:49:38

国内的黑客看不下去了
或者干脆是他自己哪个程序员手痒了

显示全部楼层 · 发表于 2006-12-12 17:32:59

FS直接不让下载病毒包！

显示全部楼层 · 发表于 2006-12-12 18:20:39

运行了一下

mcafee的阻挡记录：
D:\Downloads\Temp\svchost.exe 防病毒标准保护:禁止伪装 Windows 进程
D:\Downloads\Temp\sql.com 用户定义的规则:禁止访问TEMP文件夹，防止恶意安装程序
D:\Downloads\Temp\svchost.exe 防病毒标准保护:禁止伪装 Windows 进程
D:\Downloads\Temp\sql.com 通用标准保护:禁止公用程序从 Temp 文件夹运行文件
C:\WINDOWS\SYSTEM.INI 用户定义的规则:禁止在WINDOWS目录中建立,修改,删除任何文件
C:\WINDOWS\INF\APPS.PNF 用户定义的规则:禁止在WINDOWS目录中建立,修改,删除任何文件
D:\Downloads\Temp\sql.com 通用标准保护:禁止公用程序从 Temp 文件夹运行文件
C:\WINDOWS\SYSTEM.INI 用户定义的规则:禁止在WINDOWS目录中建立,修改,删除任何文件

说明这两个是真正的“活马”

显示全部楼层 · 发表于 2006-12-15 19:39:21

下来玩玩卡巴

显示全部楼层 · 发表于 2006-12-15 19:40:33

卡巴干掉了它

显示全部楼层 · 发表于 2006-12-17 06:24:25

下载不了，一点附件，直接给KAV拦了

显示全部楼层 · 发表于 2006-12-30 02:06:45

江民2007，一下载完就自动干掉
还不错

显示全部楼层 · 发表于 2007-1-2 22:32:33

Virenprüfung mit AntiVirenKit
Version 17.0.6254
Virensignaturen vom 2006-12-19
Startzeit: 2007-1-2 22:34
Engine(s): Engine A (AVK 17.184), Engine B (BD 17.152)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung ausgew?hlter Verzeichnisse und Dateien...
Prüfe Datei C:\Documents and Settings\Administrator\桌面\Temp.rar
Objekt: svchost.exe
In Archiv: C:\Documents and Settings\Administrator\桌面\Temp.rar
Status: Virus gefunden
Virus: Trojan-PSW.Win32.OnLineGames.cj (Engine A)
Objekt: sql.com
In Archiv: C:\Documents and Settings\Administrator\桌面\Temp.rar
Status: Virus gefunden
Virus: Trojan-PSW.Win32.QQPass.ri (Engine A)
Objekt: Temp.rar
Pfad: C:\Documents and Settings\Administrator\桌面
Status: Virus gefunden
Virus: Trojan-PSW.Win32.OnLineGames.cj, Trojan-PSW.Win32.QQPass.ri (Engine A)
Analyse vollst?ndig durchgeführt: 2007-1-2 22:34
1 Dateien überprüft
1 infizierte Dateien gefunden
0 verd?chtige Dateien gefunden

[病毒样本] 360安全卫士论坛被人挂了2个木马真是难见到的画面!!!

本帖子中包含更多资源