收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 克邻大盗boot.exe恶性病毒
12下一页
返回列表 发新帖
查看: 9748|回复: 10
收起左侧

[病毒样本] 克邻大盗boot.exe恶性病毒

[复制链接]
youba
发表于 2008-10-22 16:15:51 | 显示全部楼层 |阅读模式
[前言]前段时间"大象"说有个样本 "boot.exe"很恐怖的,我们都说要这个样本咯,然后他说不想那么快放出来,但是最后还是在 "动物园样本区"放出来了,哈,反病毒就要敢于试毒,相信G-AVR的都和我一样,只是我比较菜,所以写的不好请大家原谅!期末没大多时间整理,请各位反病毒高手见谅!
大家可以先看 baidu杀毒的一篇文章 克邻大盗来势汹汹 专杀下载
1.病毒源文件:boot.exe
SHA-160       : 61D84A068E1116F162FA36088E40E6A6C74898B5
MD5           : 7AECBB688406A738F1FEE28593BAF3D9
CRC-32        : 698D690E
autorun.inf :
[Autorun]
shell\open=打开(&O)
shell\open\Command=boot.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=boot.exe
1.病毒行为:
boot.exe 加载 驱动 IsDrv118.sys
进程:
     路径: C:\Documents and Settings\Administrator\桌面\boot.exe
     PID: 1252
驱动:
     路径: C:\WINDOWS\system32\drivers\IsDrv118.sys
     信息: NVIDIA Compatible Windows Miniport Driver, Version 91.31 (NVIDIA Corporation)
-------------------------------------------------------------------------
程序boot.exe 尝试直接存取物理内存,可获得对系统的完全控制权限.
进程:
     路径: C:\Documents and Settings\Administrator\桌面\boot.exe
     PID: 1252
对象:
     路径: C:\WINDOWS\explorer.exe
     信息: Windows Explorer (Microsoft Corporation)
此项允许修改其它程序的虚拟内存,且可用以调整其它程序的性能。
-------------------------------------------------------------------------
程序boot.exe 尝试获取对其他程序的完全控制权限.
进程:
     路径: C:\Documents and Settings\Administrator\桌面\boot.exe
     PID: 1252
对象:
     路径: C:\WINDOWS\explorer.exe
     信息: Windows Explorer (Microsoft Corporation)
此项允许获得全部控制于另一进程的某线程上,且可能被用于“DLL注入”。
C:\windows\system32\linkinfo.dll 注入 explorer
-----------------------------------------------------------------------
boot.exe遇到问题需要关闭.
进程中发现多了一个 C:\windows\system32\cidaemon.exe
模块中也有 C:\windows\system32\linkinfo.dll
然后发现 boot.exe 和 autorun.inf消失了!!! 但是它确切存在!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fzz8848
头像被屏蔽
发表于 2008-10-22 16:18:42 | 显示全部楼层

回复 1楼 youba 的帖子

Begin scan in 'E:\Download\Virus\克邻大盗.rar'
E:\Download\Virus\克邻大盗.rar
    [0] Archive type: RAR
    --> boot.exe
      [DETECTION] Contains recognition pattern of the W32/Almanahe.B Windows virus
    [NOTE]      The file was deleted!
回复

举报

yuanliu 该用户已被删除
发表于 2008-10-22 16:28:46 | 显示全部楼层
2008-10-22 16:28:18    http://bbs.kafan.cn/attachment.php?aid=382269&k=e8b3a0bad76c701956dc835ae5a77126&t=1224663904//boot.exe    Firefox    拒绝: Trojan-Dropper.Win32.Small.axz        
2008-10-22 16:28:18    http://bbs.kafan.cn/attachment.php?aid=382269&k=e8b3a0bad76c701956dc835ae5a77126&t=1224663904//boot.exe    Firefox    已检测到: Trojan-Dropper.Win32.Small.axz

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kingmuro
头像被屏蔽
发表于 2008-10-22 16:36:08 | 显示全部楼层
诺顿10.1版本  21日病毒库   杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kkgh
发表于 2008-10-22 16:42:32 | 显示全部楼层
瑞星09    Trojan.Win32.Mnless.zec
回复

举报

欠妳緈諨
发表于 2008-10-22 17:14:27 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

江湖的fans
发表于 2008-10-22 17:20:17 | 显示全部楼层
小A


回复

举报

linkak
发表于 2008-10-22 17:36:27 | 显示全部楼层
NOD32
D:\virus\克邻大盗.rar » RAR » boot.exe - Win32/Alman.NAB virus
回复

举报

will
发表于 2008-10-22 18:09:00 | 显示全部楼层

貌似很古老了


Multi Command-Line Scanner Report
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\boot.exe   
MD5 Hash: F19AE9A3054D286EA3C1E12926442F38   
Type: Generic Win/DOS Executable / Extension: .EXE   

A-squared ----- Virus.Win32.Alman.b!IK    
Avast ----- Win32:Small-MIJ [Trj]    
Avg ----- Win32/Alman     
Antivir ----- W32/Almanahe.C    
BitDefender ----- Win32.Almanahe.B    
ClamWin ----- Trojan.Dropper-2902    
Dr.Web ----- Win32.Alman    
NOD32 ----- Win32/Alman.NAB virus    
Ikarus ----- Virus.Win32.Alman.b    
Jiangmin ----- TrojanDropper.Small.fu    
Kaspersky ----- Trojan-Dropper.Win32.Small.axz    
Kingsoft ----- Worm.Agent.cx.40960    
Vba32 ----- Trojan-Dropper.Win32.Small.axz    

*** 13/13 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   

Task done @ 2008/10/22 三 18:08:04.02   
回复

举报

c5132902
发表于 2008-10-22 19:28:10 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-10 08:34 , Processed in 0.127883 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表