来几个过了卡巴的

显示全部楼层 · 发表于 2006-12-20 15:22:44

在硬盘里翻出几个压缩了的病毒，发现卡巴还不能杀，懒得测试，上传上来给各位测试一下

[ 本帖最后由 dikex 于 2006-12-20 15:45 编辑 ]

显示全部楼层 · 发表于 2006-12-20 15:24:03

还有

附件大小有限，分几个贴

[ 本帖最后由 dikex 于 2006-12-20 15:41 编辑 ]

显示全部楼层 · 发表于 2006-12-20 15:41:32

最后一个，由于附件大小限制问题，这是分卷一，而分卷二在2楼-_-

[ 本帖最后由 dikex 于 2006-12-20 20:23 编辑 ]

显示全部楼层 · 发表于 2006-12-20 21:12:23

卡巴确实不报,呵呵,是不是你自己做的啊

放了一段时间还不报???

显示全部楼层 · 发表于 2006-12-20 21:39:23

原帖由 navigateqd 于 2006-12-20 21:12 发表
卡巴确实不报,呵呵,是不是你自己做的啊

放了一段时间还不报???

上面的忘了在那里收集回来的……不过我也希望我能做出来，然后挂到一些论坛上，嘻嘻

还有这个Trojan.Win32.Agent.abf，昨天在优伯特上挖到的那个新毒，卡巴对于wow.exe这个文件报了，但对windhcp.ocx当作没看到……
今天测试时才发现的，运行wow.exe后这个会自动删除，在c:\WINDOWS\system32下生成windhcp.ocx，并添加服务和驱动：WinDHCPsvc（DisplayName: "Windows DHCP Service"）和LEGACY_CELINDRV
这两个主要的注册表健值如下：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Control\*NewlyCreated*: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Control\ActiveService: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Service: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Legacy: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\ConfigFlags: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\Class: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\0000\DeviceDesc: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CELINDRV\NextInstance: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\Type: 0x00000010
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\Start: 0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\ErrorControl: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\ImagePath: "C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\DisplayName: "Windows DHCP Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\ObjectName: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc\Description: "为远程计算机注册并更新 IP 地址。"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Control\*NewlyCreated*: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Control\ActiveService: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Service: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Legacy: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\ConfigFlags: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Class: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\DeviceDesc: "CelInDrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\NextInstance: 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Type: 0x00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Start: 0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\ErrorControl: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\ImagePath: "C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\DisplayName: "Windows DHCP Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\ObjectName: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Description: "为远程计算机注册并更新 IP 地址。"

样本，密码virus

[ 本帖最后由 dikex 于 2006-12-20 21:43 编辑 ]

显示全部楼层 · 发表于 2006-12-20 21:44:40

windhcp.ocx在多引擎扫描只有少得可怜的几家报了，而且报为可疑的多

DrWeb 4.33 12.20.2006 Trojan.Havedo
eSafe 7.0.14.0 12.19.2006 Suspicious Trojan/Worm
McAfee 4922 12.19.2006 BackDoor-DKH
NOD32v2 1931 12.20.2006 a variant of Win32/Agent.ABF
Panda 9.0.0.4 12.19.2006 Suspicious file
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious

显示全部楼层 · 发表于 2006-12-21 03:37:50

我来用McAfee测试一下

显示全部楼层 · 发表于 2006-12-21 03:49:35

QKiller：
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.key 防病毒最大保护:禁止更改所有文件扩展名的注册
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe \Registry\Machine\Software\Classes\.key 防病毒最大保护:禁止更改所有文件扩展名的注册
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe C:\Documents and Settings\BenQ\Local Settings\Temp\perfectwhistler2.ini 用户定义的规则:爆发保护：禁止在本地创建,修改,删除任何文件
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe C:\Documents and Settings\BenQ\Local Settings\Temp\d9d1_appcompat.txt 用户定义的规则:爆发保护：禁止在本地创建,修改,删除任何文件
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe C:\Documents and Settings\BenQ\Local Settings\Temp\d9c0_appcompat.txt 用户定义的规则:爆发保护：禁止在本地创建,修改,删除任何文件
2006-12-20 15:41:34 1092 COMPANY-B66F4D4\BenQ E:\卡巴论坛资料\测试\QKiller\QKiller.exe C:\Documents and Settings\BenQ\Local Settings\Temp\d830_appcompat.txt 用户定义的规则:爆发保护：禁止在本地创建,修改,删除任何文件
除了上面的这个外，小红伞全报

显示全部楼层 · 发表于 2006-12-21 11:42:55

瑞星也过了

显示全部楼层 · 发表于 2006-12-21 12:54:11

mcafee的爆发保护...看"防病毒最大保护:禁止更改所有文件扩展名的注册"这项规则强

我去看看我的填加了没.呵呵.谢谢发日志记录

来几个过了卡巴的

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分