某加密WMV弹出病毒连接下载的exe！更新[网马地址]

sanhu35

exe红伞未报
----------------------------------

http://web.fd5a.cn/hc/fh.htm

http://web.fd5a.cn/hc/fl/ifl.html

http://web.fd5a.cn/hc/fh.htm

http://web.fd5a.cn/root/vip2.htm

http://mx.yu2u.cn/wmpu/5918-008.htm

工具抽风了 不想麻烦 大家解吧

[ 本帖最后由 sanhu35 于 2008-10-31 12:52 编辑 ]

Anycall-D908

这个，真受不了。刚执行它，看到xxx激情聊天室。心想：“这是报黄毒的而已吧？没什么看头，谁知道一会儿阿瓦斯特和微点同时报。开始微点报可疑程序，然后是一连串的未知木马。正当我想截图的时候，发现有个对话框.....即将重启。很无奈，图都没截成。

08红伞威点

File ID  Filename Size (Byte) Result
25176486  setup.exe  446.36 KB  UNDER ANALYSIS


Please find a detailed report concerning each individual sample below:

Filename Result
setup.exe  UNDER ANALYSIS

The file 'setup.exe' has been determined to be 'UNDER ANALYSIS'.

hzyw

是有毒。。运行以后nis2009 SONRA 拦截

电影结束了

XE的WMV

richiely

过NOD32

will

释放衍生物：
%programfiles%\start.bat
%programfiles%\YMZChat.exe
%programfiles%\UpChat.exe

start.bat内容：

@start " " "UpChat.exe"
@start " " "YMZChat.exe"
@del start.lnk
@del %0

运行UpChat.exe和YMZChat.exe

UpChat.exe在沙盘中跑不起来
YMZChat.exe貌似是一个15ai.com的色情聊天室

Multi Command-Line Scanner Report
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\setup.exe   
MD5 Hash: 997D8AE13820DE212066D0B829D9C715   
Type: WinRAR Self Extracting archive / Extension: .EXE   

A-squared ----- Virus.INF.Agent!IK    
Avast ----- Nothing   
Avg ----- Generic9.UTB     
Antivir ----- Nothing   
BitDefender ----- Nothing   
ClamWin ----- Trojan.Spy-20011    
Dr.Web ----- Nothing   
NOD32 ----- Nothing   
Ikarus ----- Virus.INF.Agent    
Jiangmin ----- Nothing   
Kaspersky ----- Nothing   
Kingsoft ----- Nothing   
Vba32 ----- Nothing   

*** 4/13 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\UpChat.exe   
MD5 Hash: 6BCBF11744466AEC75C77284AAFB3FA4   
Type: DOS Executable Generic / Extension: .EXE   

A-squared ----- Trojan-PWS.Win32.Agent.hf!IK    
Avast ----- Nothing   
Avg ----- Downloader.VB.BOA     
Antivir ----- TR/Crypt.XPACK.Gen    
BitDefender ----- DeepScan:Generic.Malware.dld!!.ED5ECEEF    
ClamWin ----- Nothing   
Dr.Web ----- Nothing   
NOD32 ----- probably unknown NewHeur_PE virus    
Ikarus ----- Trojan-PWS.Win32.Agent.hf    
Jiangmin ----- Nothing   
Kaspersky ----- Trojan-Downloader.Win32.Small.afxx    
Kingsoft ----- Nothing   
Vba32 ----- Nothing   

*** 7/13 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   

Task done @ 2008/10/31 五 10:08:25.49   

[ 本帖最后由 will 于 2008-10-31 10:12 编辑 ]

328397663

Start of the scan: 2008年11月1日  10:24
Starting the file scan:
Begin scan in 'C:\Documents and Settings\Administrator\桌面\UpChat.zip'
C:\Documents and Settings\Administrator\桌面\UpChat.zip
    [0] Archive type: ZIP
      --> UpChat.exe
          [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [NOTE]      The file was deleted!

[ 本帖最后由 328397663 于 2008-11-1 10:24 编辑 ]

啊弥陀佛

原帖由 Anycall-D908 于 2008-10-31 01:20 发表
这个，真受不了。刚执行它，看到xxx激情聊天室。心想：“这是报黄毒的而已吧？没什么看头，谁知道一会儿阿瓦斯特和微点同时报。开始微点报可疑程序，然后是一连串的未知木马。正当我想截图的时候，发现有个对话框... ...

你的微点是什么版本的??
偶的微点直接报病毒

bksh

原帖由 啊弥陀佛 于 2008-10-31 11:26 发表



你的微点是什么版本的??
偶的微点直接报病毒

人家发帖的时候微点还没提取特征码呢，你发的时候微点已经提取到了。
orz