木马攻击模块4608

youba

这个模块是一个驱动文件。当它随着整个木马进入用户电脑后，就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数，还原系统SSDT表，如果这个动作成功，就可以解除一些具有所谓主动防御功能的杀毒软件的武装。

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： RootKit.Win32.Agent.bca  

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.58.40

z2665

Begin scan in 'C:\Documents and Settings\Administrator\桌面\木马攻击模块4608.rar'
C:\Documents and Settings\Administrator\桌面\木马攻击模块4608.rar
    [0] Archive type: RAR
    --> 7629D989.exe
      [DETECTION] Contains recognition pattern of the RKIT/Agent.4608.1 root kit
    [NOTE]      A backup was created as 'ade9ecbf.qua'  ( QUARANTINE )
    [NOTE]      The file was successfully wiped!
    [NOTE]      The file was deleted!

z2665

类别:
工具

描述:
这个程序用于创建病毒、蠕虫或其他恶意软件。

建议:
立即删除这个软件。

检测到可能会泄露您的隐私或损坏您的计算机的程序。您仍可以访问该文件而不消除该威胁（虽然建议不要这样做）。为此，选择“始终允许”作为操作并单击“应用操作”按钮。如果此按钮不可用，请以管理员身份登录或向管理员请求帮助。

检测者:
定义文件

资源:
file:
C:\Documents and Settings\Administrator\桌面\木马攻击模块4608\7629D989.exe

摘要:
已经更改 访问时保护 项。

此代理在软件运行前对其进行扫描。如果该软件危害计算机的可能性很大，系统会发送警报。

检查点:
访问时防病毒保护

qianwenxiang

此样本文件名为"7629D989.EXE" CRC值为"7629D989"，
与我在6月17日所发样本：
http://bbs.kafan.cn/viewthread.php?tid=271319
PART2的文件重复（文件名为 “7629D989” ， CRC值为“7629D989”）
关闭

百度搜索记录为：
http://www.baidu.com/s?wd=7629D989

下为对比截图：

”