收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 过了ESS,微点报未知
123下一页
返回列表 发新帖
查看: 3810|回复: 21
收起左侧

[病毒样本] 过了ESS,微点报未知

[复制链接]
Anycall-D908
发表于 2008-10-18 13:43:41 | 显示全部楼层 |阅读模式
大家来看看这是什么

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

雨宫优子
发表于 2008-10-18 13:46:38 | 显示全部楼层
红伞报基因

行为分析见10楼

先放出代码分析结果
0000A5A4   0040B3A4      0   kavstart.exe
0000A5B5   0040B3B5      0   kissvc.exe
0000A5C6   0040B3C6      0   kmailmon.exe
0000A5D7   0040B3D7      0   kpfw32.exe
0000A5E8   0040B3E8      0   kpfwsvc.exe
0000A5F9   0040B3F9      0   kwatch.exe
0000A60A   0040B40A      0   ccenter.exe
0000A61B   0040B41B      0   ras.exe
0000A62C   0040B42C      0   rstray.exe
0000A63D   0040B43D      0   rsagent.exe
0000A64E   0040B44E      0   ravtask.exe
0000A65F   0040B45F      0   ravstub.exe
0000A670   0040B470      0   ravmon.exe
0000A681   0040B481      0   ravmond.exe
0000A692   0040B492      0   avp.exe
0000A6A3   0040B4A3      0   360safebox.exe
0000A6B4   0040B4B4      0   360Safe.exe
0000A6C5   0040B4C5      0   Thunder5.exe
0000A6D8   0040B4D8      0   FreeLibrary
0000A6E4   0040B4E4      0   kernel32.dll
0000A6F4   0040B4F4      0   taskkill
0000A700   0040B500      0   /f /im avp.exe
0000A710   0040B510      0   avp.exe
0000A718   0040B518      0   SeDebugPrivilege
0000A72C   0040B52C      0   C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Bases\kavbase.kdl
0000A788   0040B588      0   kavbase.kdl
0000A794   0040B594      0   SOFTWARE\KasperskyLab\protected\AVP8\CKAHUM\LastSet
0000A7C8   0040B5C8      0   Debugger
0000A7D4   0040B5D4      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
0000A820   0040B620      0   svchost.exe
0000A82C   0040B62C      0    /f /im
0000A870   0040B670      0   ntdll.dll
0000A8E4   0040B6E4      0   \drivers\lklosd.sys
0000A8F8   0040B6F8      0   Thunder5.exe
0000E704   0040F504      0   \drivers\etc\hosts
0000E71C   0040F51C      0   cmd /c del
0000E728   0040F528      0   %s%d_res.tmp
0000E738   0040F538      0   system32\rundll32.exe
0000E780   0040F580      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Run
0000E7B0   0040F5B0      0   361kary
0000E7B8   0040F5B8      0   \woauolt.exe
0000E7F8   0040F5F8      0   ARPAccess
0000E828   0040F628      0   SOFTWARE\360Safe\safemon
0000A894   0040B694      0   \SystemRoot\system32\drivers\lklosd.sys
可能是KILLAV病毒


这个看得很直观..
仔细看了看,还有ARP...

[ 本帖最后由 aarwwefdds 于 2008-10-18 14:22 编辑 ]
回复

举报

wjhstu-VxG
发表于 2008-10-18 13:47:09 | 显示全部楼层
Trojan.KillAV

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

sypsypsypsyp
发表于 2008-10-18 13:47:30 | 显示全部楼层
过了我的卡巴2009
反病毒引擎版本最后更新扫描结果
AhnLab-V32008.10.18.02008.10.17-
AntiVir7.9.0.52008.10.17TR/Spy.Gen
Authentium5.1.0.42008.10.18W32/OnlineGames.AJ.gen!Eldorado
Avast4.8.1248.02008.10.15Win32:Acve-B
AVG8.0.0.1612008.10.17-
BitDefender7.22008.10.18-
CAT-QuickHeal9.502008.10.18(Suspicious) - DNAScan
ClamAV0.93.12008.10.18Trojan.Killav-222
DrWeb4.44.0.091702008.10.18DLOADER.Trojan
eSafe7.0.17.02008.10.16Suspicious File
eTrust-Vet31.6.61542008.10.17-
Ewido4.02008.10.17-
F-Prot4.4.4.562008.10.17W32/OnlineGames.AJ.gen!Eldorado
F-Secure8.0.14332.02008.10.18W32/Packed/FSG_2.A
Fortinet3.113.0.02008.10.17-
GData192008.10.18Win32:Acve-B
IkarusT3.1.1.44.02008.10.18Trojan-Downloader.Win32.ACVE.al
K7AntiVirus7.10.4982008.10.17-
Kaspersky7.0.0.1252008.10.18Trojan-Downloader.Win32.ACVE.at
McAfee54082008.10.17W32/Mydoom.x@MM
Microsoft1.40052008.10.18TrojanDownloader:Win32/Dogrobot.A
NOD3235332008.10.17probably a variant of Win32/TrojanDownloader.Agent.OHA
Norman5.80.022008.10.17W32/Packed_FSG.D
Panda9.0.0.42008.10.17Suspicious file
PCTools4.4.2.02008.10.17Packed/FSG
Prevx1V22008.10.18Suspicious
Rising20.66.50.002008.10.18Trojan.DL.Win32.Mnless.bhg
SecureWeb-Gateway6.7.62008.10.18Trojan.Spy.Gen
Sophos4.34.02008.10.18Mal/Packer
Sunbelt3.1.1732.12008.10.18Trojan.Win32.Packed.gen (v)
Symantec102008.10.18Trojan.KillAV
TheHacker6.3.1.0.1182008.10.17W32/Mydoom.X@MM
TrendMicro8.700.0.10042008.10.17Cryp_Bits
VBA323.12.8.72008.10.17-
ViRobot2008.10.17.14252008.10.17-
VirusBuster4.5.11.02008.10.17Packed/FSG
回复

举报

Palkia
发表于 2008-10-18 13:51:16 | 显示全部楼层
病毒        2008-10-18  13:51:06        C:\Documents and Settings\Administrator\桌面\WOAUOLT.rar\WOAUOLT.EXE        Win32.Troj.OnlineGameT.bd.65697        清除成功
回复

举报

lingbo110120
发表于 2008-10-18 13:54:54 | 显示全部楼层
WOAUOLT.EXE - 可能是 Win32/TrojanDownloader.Agent.OHA 特洛伊木马 的变种
谁说过ESS的?
回复

举报

浪滔天
发表于 2008-10-18 13:55:36 | 显示全部楼层

回复 4楼 sypsypsypsyp 的帖子

更新病毒库~
回复

举报

雨宫优子
发表于 2008-10-18 13:58:21 | 显示全部楼层
木马名称:Trojan-Downloader.Win32.Agent.aipn

程序:
C:\DOCUMENTS AND SETTINGS\***.18F12FE200FB45E\桌面\ANTI-VIRUS LAB\RUN VIRUS LAB\WMPUPDATE.DLL
是木马程序!
已成功阻止其运行,是否要删除此文件?
微点病毒库更新
回复

举报

lingbo110120
发表于 2008-10-18 13:59:43 | 显示全部楼层

回复 8楼 aarwwefdds 的帖子

汗..
你2楼的代码分析怎么做的?
我还不会呢 教教偶
回复

举报

雨宫优子
发表于 2008-10-18 14:18:06 | 显示全部楼层
额..很少见这样的报法,麦咖啡的
W32/Mydoom.x@MM
简单行为分析
创建启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
361kary = "%System%\woauolt.exe"
复制自身到:
%Temp%\2183765_res.tmp
然后破坏杀软,就像前面那样..
不过没发现别的了

[ 本帖最后由 aarwwefdds 于 2008-10-18 14:21 编辑 ]
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-3 08:11 , Processed in 0.135156 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表