最完美的磁碟机病毒样本--值得收藏和研究！（不断更新，添加感染文件exe、htm）

显示全部楼层 · 发表于 2008-8-29 17:26:08

http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down multiple threats connection terminated - quarantined Threat was detected upon access to web by the application: C:\Program Files\Internet Explorer\iexplore.exe.
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\Com\lsass.exe a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\Com\netcfg.000 is OK
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\Com\netcfg.dll is OK
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\Com\smss.exe Win32/Xorer.DQ virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\dnsq.dll » UPX v12_m2_dll is OK
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\446751.log a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\drivers\alg.exe a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\AntiTool.exe Win32/Xorer.NAF virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\system32\ntfsus.exe Win32/Xorer.CP virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\AUTORUN.INF INF/Autorun virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\NetApi000.sys is OK
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\pagefile.pif Win32/Xorer.ER virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\pagefile.exe Win32/Agent.NRS trojan
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\Temp\data.gif a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\Temp\Setup.exe a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\037589.log a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » 本地磁盘(C：)\启动\~.exe.664406.exe a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » setup.exe a variant of Win32/Xorer virus
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » setup.exe » UPX v12_m2 is OK
http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down » RAR » setup.exe » RAR » Setup.exe a variant of Win32/Xorer virus

显示全部楼层 · 发表于 2008-8-29 20:53:39

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Worm.Win32.DiskGen.cv
病毒： Worm.Win32.DiskGen.cs
病毒： Worm.Win32.DiskGen.cs
病毒： Worm.Win32.DiskGen.cs
病毒： Worm.Win32.DiskGen.gfn
病毒： Trojan.Win32.ArpCheat.ez
病毒： Dropper.Win32.Agent.zak
病毒： Worm.Win32.DiskGen.bm
病毒： Worm.Win32.DiskGen.GEN
病毒： Worm.Win32.DiskGen.gfk
病毒： Trojan.Win32.Undef.dxt
病毒： Worm.Win32.DiskGen.gfp

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.59.42

显示全部楼层 · 发表于 2008-8-30 01:33:51

我的TF干掉了

显示全部楼层 · 发表于 2008-8-30 11:43:22

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://taizhoutel.eeload.com/m/o/913/0adc3065c4cae8ff.down
Information: Is the TR/Fujacks.A.1 Trojan

--------------------------------------------------------------------------------
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.23, VDF 7.0.6.92

显示全部楼层 · 发表于 2008-8-30 12:52:23

BD 全灭～～
只剩下了文件夹
质量不咋地～～

显示全部楼层 · 发表于 2008-8-30 13:00:31

D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>setup.exe W32.Kdcyy.Gen.oorm.arc 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\037589.log W32.Kdcyy.ch.pgef 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\AUTORUN.INF INF.Autorun.d 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\NetApi000.sys W32.Xorer.dv.fanu 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\pagefile.exe W32.Xorer.ed.zrlq 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\pagefile.pif Kdcyy.cd.vuaa 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\446751.log W32.Kdcyy.ch.pgef 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\AntiTool.exe Backdoor.Agent.amrp.olfx 后门还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\Com\lsass.exe Trojan.Kdcyy.j.knjk 木马还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\Com\netcfg.000 W32.Xorer.dd.skct.dll 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\Com\netcfg.dll W32.Xorer.dd.skct.dll 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\Com\smss.exe W32.Xorer.dq.igkk 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\dnsq.dll Trojan.Kdcyy.l.lvlz.dll 木马还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\drivers\alg.exe TrojanDownloader.Small.wee.hbol 木马还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\system32\ntfsus.exe W32.Xorer.cpb 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\Temp\data.gif W32.Kdcyy.Gen.frls 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\Temp\Setup.exe W32.Kdcyy.Gen.frls 病毒还未处理
D:\download\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88Worm.Win32.DiskGen%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E7%89%88.rar>>本地磁盘(C：)\启动\~.exe.664406.exe W32.Kdcyy.ch.pgef 病毒还未处理

18个

显示全部楼层 · 发表于 2008-8-31 18:25:48

NOD32下载过程中自动断开....看来NOD32自我保护不错.......

显示全部楼层 · 发表于 2008-9-13 20:26:57

◎更新日志：

1.修改了主注释和说明。

2.大体修改病毒目录结构。

3.升级lsass.exe和smss.exe病毒程序，补充system32目录下随机生成的两个log文件（即3178579.log和3178751.log。注意：这里的每个log文件前面的6位数字都不固定，是随机的。）

4.添加受感染的EXE程序（可以修复）受感染的explorer.exe文件样本（不可修复！！）

5.收集了病毒下载的恶意软件和弹出的恶意网页的相关信息

显示全部楼层 · 发表于 2008-9-13 21:42:39

感染文件倒还是能修复的

显示全部楼层 · 发表于 2008-9-13 21:47:47

微点特征码杀剩4个……

剩下的：

1.被感染了的EXE.EXE

病毒名称:Virus.Win32.Xorer.xo

程序:
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\NETAPI000.SYS
是病毒程序!
已成功阻止其运行,是否要删除此文件?

BC%88WORM.WIN32.DISKGEN%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E5%A2%9E%E5%BC%BA%E7%89%88\本地磁盘(C：)\DOCUMENTS AND SETTINGS\MY DOCUMENTS\被感染了的EXE.EXE
木马程序生成以下文件:
1) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\NETAPI000.SYS
2) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\ALL\「开始」菜单\程序\启动\~.EXE.2018625.EXE
是否删除木马程序及其衍生物?

2.EXPLORER.EXE

病毒名称:Virus.Win32.Xorer.jp

程序:
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\COM\SMSS.EXE
是病毒程序!
已成功阻止其运行,是否要删除此文件?

病毒名称:Virus.Win32.Xorer.jp

程序:
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\COM\SMSS.EXE
是病毒程序!
已成功阻止其运行,是否要删除此文件?
病毒名称:Virus.Win32.Xorer.jn

程序:
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\COM\NETCFG.DLL
是病毒程序!
已成功阻止其运行,是否要删除此文件?

病毒名称:Virus.Win32.Xorer.jm

程序:
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\DNSQ.DLL
是病毒程序!
已成功阻止其运行,是否要删除此文件?

程序:
D:\VIRUS\%E7%A3%81%E7%A2%9F%E6%9C%BA%EF%BC%88WORM.WIN32.DISKGEN%EF%BC%89V93696%E5%AE%8C%E6%95%B4%E5%A2%9E%E5%BC%BA%E7%89%88\本地磁盘(C：)\WINDOWS\EXPLORER.EXE
木马程序生成以下文件:
1) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\COM\LSASS.EXE
2) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\037589.LOG

对AUTORUN.INF和NetApi000.sys无视

[ 本帖最后由无尽藏海于 2008-9-13 21:52 编辑 ]

[病毒样本] 最完美的磁碟机病毒样本--值得收藏和研究！（不断更新，添加感染文件exe、htm）

33/17

评分