qq远程控制

显示全部楼层 · 发表于 2008-10-5 19:56:44

驱逐舰 MISS

显示全部楼层 · 发表于 2008-10-5 20:58:07

Starting the file scan:

Begin scan in 'E:\Documents and Settings\Administrator\桌面\341963.rar'
E:\Documents and Settings\Administrator\桌面\341963.rar
[0] Archive type: RAR
发表帖子[完成后可按 Ctrl    --> ﾯfﾬr\ﾷsﾫ￘ﾤ￥ﾥ??\123.rar
      [1] Archive type: RAR
      --> 123.exe
      [DETECTION] Contains HEUR/Malware suspicious code
[NOTE]    The file was deleted!
没几个能过小红伞

显示全部楼层 · 发表于 2008-10-5 21:18:12

被小红伞启发掉了

显示全部楼层 · 发表于 2008-10-5 21:51:17

微点没有反应吗？
我有点担心了。。。

显示全部楼层 · 发表于 2008-10-5 21:56:01

文件: 123.exe
大小: 939864 字节
MD5: E3D9574BD04730DCDE61F5D8072BF8C5
SHA1: 1ED5D34EB36859A33033D620DD0071FAB54BCB5B
CRC32: 2017E612
加壳类型：Nullsoft PiMP Stub [Nullsoft PiMP SFX] *

简单行为分析：

释放文件：
C:\Documents and Settings\Administrator\Local Settings\Temp\123.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\未命名.gif
C:\WINDOWS\system32\Honhcservice.exe
C:\WINDOWS\system32\Honhcservice.dll
C:\WINDOWS\Fonts\63b57ca224cef4f987fc987475f15507.dat
C:\Documents and Settings\Administrator\Local Settings\Temp\nsa1.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsh2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsh2.tmp\System.dll
C:\del_filme.bat

安装加载服务：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Honhserver；

修改注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e64c9ff3-8e42-11dd-838c-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\OpenWithProgids
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

创建注册表：
HKEY_CURRENT_USER\Software\FlySky\E
HKEY_LOCAL_MACHINE\SOFTWARE\rising
HKEY_LOCAL_MACHINE\SOFTWARE\rising\KaKa
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Honhserver\Parameters

运行IE，修改IE内存创建远程线程连接控制端；

显示全部楼层 · 发表于 2008-10-5 22:44:58

Hello. This file is already detected ().
Please update your bases.

Please quote all when answering.

-----------------
Regards, Kirill Erakhtin
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.com

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

显示全部楼层 · 发表于 2008-10-5 23:14:08

是啥东西啊？瑞星和大蜘蛛没反映啊

显示全部楼层 · 发表于 2008-10-6 20:39:04

用什么软件分析的？很详细，奇怪，为什么风云防火墙这些没有提示呢？难道绕过了风云的监控？
2008-10-6 20:29:30 发现：新建文件!
文件：C:\WINDOWS\system32\Honhcservice.exe
进程：C:\DOCUME~1\ggg\LOCALS~1\Temp\你.exe 询问放行
只有这样的提示，注册表监控没有提示
不过我今天用绿色版小红伞查没有发现哦？

显示全部楼层 · 发表于 2008-10-6 21:19:46

行为如此丰富微点没反应吗？不太相信.

显示全部楼层 · 发表于 2008-10-6 21:58:30

Now NOD32 can detect it,thanks.

[病毒样本] qq远程控制

回复 15楼 agggg5566 的帖子

回复 2楼羽毛的帖子

[病毒样本] qq远程控制

回复 15楼 agggg5566 的帖子

回复 2楼 羽毛 的帖子

回复 2楼羽毛的帖子