Q马一只

小飞侠.net

Q马一只

文件: QQ批处理登陆器\QQBAT.EXE
大小: 200704 字节
文件版本: 1.00
修改时间: 2008年8月29日, 2:26:26
MD5: 445121B54B38AA3012A79167B7C7EA66
SHA1: F821FEC19847331E6F615BB1289F3A8A6D7DCD4E
CRC32: 3D3E3195

PS：可能会认为是误报，看看下面“Norman Sandbox（沙盘日志）”就知道不是误报。

文件 QQBAT.EXE 接收于 2008.08.29 07:29:09 (CET)

结果: 15/36 (41.67%)
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.28 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.29 -
Avast 4.8.1195.0 2008.08.28 Win32:Agent-TTC
AVG 8.0.0.161 2008.08.29 -
BitDefender 7.2 2008.08.29 BehavesLike:Trojan.Downloader
CAT-QuickHeal 9.50 2008.08.26 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.29 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6055 2008.08.29 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.29 -
F-Secure 7.60.13501.0 2008.08.29 Trojan-Downloader.Win32.Agent.fgm
Fortinet 3.14.0.0 2008.08.29 -
GData 19 2008.08.29 Trojan-Downloader.Win32.Agent.fgm
Ikarus T3.1.1.34.0 2008.08.29 Trojan-Downloader.Win32.VB.aoe
K7AntiVirus 7.10.428 2008.08.25 not-a-virus:NetTool.Win32.UltraScape.11
Kaspersky 7.0.0.125 2008.08.29 Trojan-Downloader.Win32.Agent.fgm
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Small.gen!C
NOD32v2 3397 2008.08.28 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.08.28 W32/Downloader
Panda 9.0.0.4 2008.08.29 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.29 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.29 Mal/Packer
Sunbelt 3.1.1592.1 2008.08.29 -
Symantec 10 2008.08.29 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.29 suspected of Win32.Trojan.Downloader (http://...)
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 Trojan.Crypt.XPACK.Gen
附加信息
File size: 200704 bytes
MD5...: 445121b54b38aa3012a79167b7c7ea66
SHA1..: f821fec19847331e6f615bb1289f3a8a6d7dcd4e
SHA256: f213924aa66d12a01551c74a6192046c82c9fd7fa2736d068acecb933d4f8891
SHA512: 0d2b0f4b4baf3c4846fb60d5081e1841bdb3f4ddbe0cc2d731d96b6aaebca4ca
629f80c8046dd5c002fcb0d37228535807b1b4a4376ea7f22f5f747ee7bfe8af
PEiD..: PE Diminisher V0.1 -> Teraphy
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42f000
timedatestamp.....: 0x2e78e (Sat Jan 03 04:52:30 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25808 0x26000 5.98 af22dd3ad62951cc4d2acbe8844615f5
.data 0x27000 0x1d68 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x29000 0x5158 0x6000 4.73 42b18884d0dcd85176e33d015f31f62f
PEinject 0x2f000 0x2922 0x3000 7.09 12c42051836f4028a488534305b2f9d3

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress

( 0 exports )

Norman Sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 200704 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system32\thundet.exe.

[ Network services ]
* Downloads file from ht　tp://www.bosonet.cn/skin/default/images/data.exe as c:\windows\system32\thundet.exe.
* Connects to \"w　ww.bosonet.cn\" on port 80 (TCP).
* Opens URL: w　ww.bosonet.cn/skin/default/images/data.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Creates process \"thundet.exe\".



VirSCAN.org Scanned Report :
Scanned time   : 2008/08/29 13:33:20 (CST)
Scanner results: 36%的杀软(13/36)报告发现病毒
File Name      : QQBAT.EXE
File Size      : 200704 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 445121b54b38aa3012a79167b7c7ea66
SHA1           : f821fec19847331e6f615bb1289f3a8a6d7dcd4e
Online report  : ht　tp://virscan.org/report/98e2435c8e95faf350e3b367154dfb46.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.08.28        2008-08-28  2.54   -
安博士V3       2008.08.29.00   2008.08.29        2008-08-29  0.89   -
AntiVir        7.8.1.23        7.0.6.88          2008-08-28  2.25   TR/Crypt.XPACK.Gen
Arcavir        1.0.5           200808281354      2008-08-28  1.20   -
AVAST!         3.0.1           080828-0          2008-08-28  0.01   Win32:Agent-TTC [Trj]
AVG            7.5.51.442      270.6.12/1640     2008-08-28  1.54   -
BitDefender    7.60825.1665415 7.20717           2008-08-29  3.01   BehavesLike:Trojan.Downloader (suspected)
CA (VET)       9.0.0.143       31.6.6055         2008-08-28  3.76   -
ClamAV         0.93.3          8115              2008-08-29  0.06   -
Comodo         2.11            2.0.0.630         2008-08-28  0.42   -
CP Secure      1.1.0.715       2008.08.29        2008-08-29  6.50   -
Dr.Web         4.44.0.9170     2008.08.28        2008-08-28  3.12   -
ewido          4.0.0.2         2008.08.28        2008-08-28  2.50   -
F-Prot         4.4.4.56        20080829          2008-08-29  1.05   Possible W32/Heuristic-DL3!Eldorado (not disinfectable)
F-Secure       5.51.6100       2008.08.29.04     2008-08-29  0.04   Trojan-Downloader.Win32.Agent.fgm [AVP]
飞塔           2.81-3.11       9.486             2008-08-29  1.77   Suspicious
ViRobot        20080828        2008.08.28        2008-08-28  0.39   -
Ikarus         T3.1.01.34      2008.08.28.71359  2008-08-28  3.18   Trojan-Downloader.Win32.VB.aoe
江民杀毒       11.0.706        2008.08.28        2008-08-28  1.20   TrojanDownloader.Agent.utv
卡巴斯基       5.5.10          2008.08.29        2008-08-29  0.03   Trojan-Downloader.Win32.Agent.fgm
金山毒霸       2008.1.14.15    2008.8.29.10      2008-08-29  0.58   -
迈克菲         5.3.00          5372              2008-08-28  2.31   -
Microsoft      1.3807          2008.08.28        2008-08-28  4.52   TrojanDownloader:Win32/Small.gen!C
mks_vir        2.01            2008.08.25        2008-08-25  2.69   -
Norman         5.93.01         5.93.00           2008-08-28  5.06   -
熊猫卫士       9.05.01         2008.08.28        2008-08-28  4.65   -
趋势科技       8.700-1004      5.506.04          2008-08-28  0.03   -
Quick Heal     9.50            2008.08.26        2008-08-26  1.74   Suspicious - DNAScan
瑞星           20.0            20.59.31.00       2008-08-28  0.81   -
Sophos         2.78.0          4.33              2008-08-29  1.70   Mal/Packer
Sunbelt        3.1.1582.1      2208              2008-08-28  0.70   -
赛门铁克       1.3.0.24        20080828.003      2008-08-28  0.15   -
nProtect       2008-08-28.00   1982990           2008-08-28  3.69   -
The Hacker     6.3.0.6         v00064            2008-08-27  0.40   -
VBA32          3.12.8.4        20080828.2054     2008-08-28  1.25   Win32.Trojan.Downloader (http://...) (suspicious)
VirusBuster    4.5.11.10       10.84.14/623168   2008-08-28  1.12   -

Palkia

费尔 0

king_hh

eav:

1220016337.rar > RAR > QQ批处理登陆器\QQBAT.EXE - 未查明的 NewHeur_PE 病毒

hzyw

红伞就不下载了。。。反正lz都扫描过了，能杀

小飞侠.net

原帖由 hzyw 于 2008-8-29 14:23 发表
红伞就不下载了。。。反正lz都扫描过了，能杀

是，启发，我想想看有人用KV2009查杀没，不知查杀有沙盘日志没！

啊弥陀佛

微点拦截

千色幻想

Kaspersky Lab
拒绝访问
无法返回请求的网页

试图访问的网页：

http://bbs.kafan.cn/attachment.php?aid=
346464&k=e8773d0da4034e8d2f1c5093d380679
5&t=1219992179

发生下列错误：

请求的对象被感染，发现下列病毒 Trojan-Downloader.Win32.Agent.fgm


如有疑问，请联系您的技术支持
创建日期：
Fri Aug 29 14:47:47 2008
Kaspersky Lab

conan1229

瑞星无反应

小飞侠.net

原帖由 conan1229 于 2008-8-29 16:04 发表
瑞星无反应

两个在线沙盘的运行结果ht　tp://analysis.seclab.tuwien.ac.at/result.php?taskid=cb18c87b5a16a10495cb79343481d128
ht　tp://www.threatexpert.com/report.aspx?md5=445121b54b38aa3012a79167b7c7ea66

小飞侠.net

原帖由 tvuser2007 于 2008-8-29 14:11 发表
费尔 0

C:\Documents and Settings\\桌面\样本\1220016337\QQ批处理登陆器\QQBAT.EXE        TrojanDownloader.Agent.fgm.kwob        木马        还未处理

费尔今天15点的病毒库可查杀。