[标准磁碟机]样本一个

nod_wang

如题，据说是 磁碟机。。。

在我不理智的关掉红伞后，Avira服务被kill 。。。

我的MD  和 同学的 DW 崩了。。。当然我们的规则不完善。。。我是出现Adobe更新界面。。。开始下载病毒木马。。。
同学那里什么都没。。。直接蓝屏。。。

那啥我们没打补丁。。。不排除此问题的可能性。以免误导大家。。。

在这里感谢EQ大大的介绍。。。小妹借用下。。。附上EQ上转来的行为分析。。。


2008-09-10 21:02:57    运行应用程序      操作:允许
进程路径:C:\Program Files\zabkat\xplorer2\xplorer2_UC.exe
文件路径:F:\Once\Unpack\Unpack.exe
触发规则:所有程序规则->阻止运行->F:\Once\*

2008-09-10 21:03:01    进程间消息操作      操作:阻止
进程路径:F:\Once\Unpack\Unpack.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
消息类型:WM_QUERYENDSESSION
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe

2008-09-10 21:03:04    进程间消息操作      操作:阻止
进程路径:F:\Once\Unpack\Unpack.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
消息类型:WM_ENDSESSION
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe

2008-09-10 21:03:15    删除注册表      操作:阻止
进程路径:F:\Once\Unpack\Unpack.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

（还有一半由于字数限制，不发了。附上EQ官方的地址http://hi.baidu.com/eqsyssecurity/blog）

最后再次感谢EQ大大的磁碟机测试文。。。

同时感谢GKR的官人热心帮助。。。最后我的机器终于好了。。。5555

[ 本帖最后由 nod_wang 于 2008-9-11 19:33 编辑 ]

cxc0532

???没有看见样本呢

黑夜的影子

磁碟机的话，沙盘应该能防住

sltgr

2008/9/11 16:51:26        已删除: Virus.Win32.Xorer.ey        C:\Users\sltgr\Downloads\KMPlear.rar/setup\Setup.exe

fzz8848

Begin scan in 'E:\Download\KMPlear.rar'
E:\Download\KMPlear.rar
    [0] Archive type: RAR
      --> setup\Setup.exe
          [DETECTION] Is the TR/Xorer.94208 Trojan
    [NOTE]      The file was deleted!

cxc0532

小A 还没有下载下来就kill了

周勃

小红伞能杀。

kkgh

瑞星杀掉

smsm168

MCAFEE 8.5 直接杀

无尽藏海

病毒名称:Virus.Win32.Xorer.acq

程序:
D:\VIRUS\KMPLEAR\SETUP\SETUP.EXE
是病毒程序!
已成功阻止其运行,是否要删除此文件?


红伞报了，难道你放行了？……