文件夹图标执行程序[MD5: 3E98DC]

显示全部楼层 · 发表于 2008-10-22 20:32:22

[Directories Created]
C:\Documents and Settings\User\Local Settings\Temp\E_4|2008.08.28 08:11:12.593|2008.08.28 08:11:11.609|2008.08.28 08:11:12.593|0x10

[Files Created]
C:\Documents and Settings\User\Local Settings\Temp\E_4\com.run|270336|2008.08.28 08:11:12.593|2008.08.28 08:11:12.593|2008.08.28 08:11:12.593|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\dp1.fne|114688|2008.08.28 08:11:12.593|2008.08.28 08:11:12.500|2008.08.28 08:11:12.500|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\eAPI.fne|323584|2008.08.28 08:11:12.359|2008.08.28 08:11:12.359|2008.08.28 08:11:12.359|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\internet.fne|184320|2008.08.28 08:11:12.375|2008.08.28 08:11:12.375|2008.08.28 08:11:12.375|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\krnln.fnr|1097728|2008.08.28 08:11:12.343|2008.08.28 08:11:11.671|2008.08.28 08:11:11.671|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\RegEx.fnr|217088|2008.08.28 08:11:12.500|2008.08.28 08:11:12.500|2008.08.28 08:11:12.500|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\shell.fne|40960|2008.08.28 08:11:12.359|2008.08.28 08:11:12.359|2008.08.28 08:11:12.359|0x20
C:\Documents and Settings\User\Local Settings\Temp\E_4\spec.fne|73728|2008.08.28 08:11:12.500|2008.08.28 08:11:12.500|2008.08.28 08:11:12.500|0x20
C:\WINDOWS\system32\XP-542ADE6B.EXE|0|2008.08.28 08:11:20.453|2008.08.28 08:11:20.453|2008.08.28 08:11:20.453|0x20

[Processes Created]
0x3c0|sample.exe|C:\TEST\sample.exe

[Processes Terminated]

[Threads Created]
0x2ac|lsass.exe|0xf8|0x7c810856|MEM_IMAGE|0x75738e06|MEM_IMAGE
0x348|svchost.exe|0x104|0x7c810856|MEM_IMAGE|0x7c910760|MEM_IMAGE
0x3c0|sample.exe|0x424|0x7c810867|MEM_IMAGE|0x401199|MEM_IMAGE

[Modules Loaded]

[Verdict]
Rated as Suspicious by 1 Report Entries

[Description]
Creates Files in Windows System Directory

显示全部楼层 · 发表于 2008-10-22 20:46:39

江民杀

显示全部楼层 · 发表于 2008-10-22 21:43:23

DRWEB MISS 。

显示全部楼层 · 发表于 2008-10-22 22:37:27

文件 _______1_.rar 接收于 2008.10.22 16:30:51 (CET)

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.10.22.0	2008.10.22	-
AntiVir	7.9.0.5	2008.10.22	TR/Dropper.Gen
Authentium	5.1.0.4	2008.10.22	W32/Nuj.A.gen!Eldorado
Avast	4.8.1248.0	2008.10.22	-
AVG	8.0.0.161	2008.10.22	SHeur.CCUR
BitDefender	7.2	2008.10.22	Dropped:Trojan.Peed.Gen
CAT-QuickHeal	9.50	2008.10.22	-
ClamAV	0.93.1	2008.10.22	-
DrWeb	4.44.0.09170	2008.10.22	-
eSafe	7.0.17.0	2008.10.22	-
eTrust-Vet	31.6.6163	2008.10.22	-
Ewido	4.0	2008.10.22	-
F-Prot	4.4.4.56	2008.10.22	W32/Nuj.A.gen!Eldorado
F-Secure	8.0.14332.0	2008.10.22	-
Fortinet	3.113.0.0	2008.10.22	-
GData	19	2008.10.22	Dropped:Trojan.Peed.Gen
Ikarus	T3.1.1.44.0	2008.10.22	Trojan.Peed
K7AntiVirus	7.10.503	2008.10.22	-
Kaspersky	7.0.0.125	2008.10.22	-
McAfee	5411	2008.10.22	-
Microsoft	1.4005	2008.10.22	-
NOD32	3545	2008.10.22	-
Norman	5.80.02	2008.10.22	-
Panda	9.0.0.4	2008.10.22	-
PCTools	4.4.2.0	2008.10.22	-
Prevx1	V2	2008.10.22	Suspicious
Rising	20.67.22.00	2008.10.22	Worm.Win32.Agent.wm
SecureWeb-Gateway	6.7.6	2008.10.22	Trojan.Dropper.Gen
Sophos	4.34.0	2008.10.22	-
Sunbelt	3.1.1742.1	2008.10.21	-
Symantec	10	2008.10.22	-
TheHacker	6.3.1.0.123	2008.10.22	-
TrendMicro	8.700.0.1004	2008.10.22	-
VBA32	3.12.8.8	2008.10.22	-
ViRobot	2008.10.22.1432	2008.10.22	-
VirusBuster	4.5.11.0	2008.10.22	-

附加信息

显示全部楼层 · 发表于 2008-10-22 22:40:15

ESET下次升级即可检测到

显示全部楼层 · 发表于 2008-10-22 22:53:23

最近这个小东西放倒了很多人，同学中间中的叶很多。主要是它的图标就是普通的文件夹，很具有迷惑性。NOD32实时开高启应该可以拦的。

显示全部楼层 · 发表于 2008-10-22 23:05:19

TO KL

显示全部楼层 · 发表于 2008-10-22 23:06:09

原帖由 EQ2 于 2008-10-22 22:40 发表
ESET下次升级即可检测到

真的吗？等待结果

显示全部楼层 · 发表于 2008-10-23 08:48:31

2008-10-23 08:48:38 访问物理内存操作:阻止
进程路径:E:\test\还原.exe
物理内存:\device\physicalmemory
触发规则:所有程序规则->*

2008-10-23 08:48:39 创建文件操作:阻止
进程路径:E:\test\还原.exe
文件路径:C:\WINDOWS\system32\XP-D41D8CD9.EXE
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe

显示全部楼层 · 发表于 2008-10-23 08:57:47

以前就见过有人中招了

[病毒样本] 文件夹图标执行程序[MD5: 3E98DC]

本帖子中包含更多资源

浏览过的版块