继续昨日的SYSTEM.EXE，把A.EXE打包了

IllusionWing

还有ida

浅蓝深蓝

sh17011.exe用什么反的？什么壳？

浪滔天

卡巴 3 个斩掉

2008-11-09 12:22:57        已被删除: Trojan-Dropper.Win32.Agent.yzy        F:\病毒样本\病毒\新建文件夹\sh17011.exe               
2008-11-09 12:22:50        已被删除: Trojan.Win32.Runner.bu        F:\病毒样本\病毒\新建文件夹\a.rar/a.exe               
2008-11-09 12:22:50        已被删除: Trojan-GameThief.Win32.WOW.cly        F:\病毒样本\病毒\新建文件夹\WowInitcode.rar/WowInitcode.dat

浪滔天

把列表中的下载打包，下到24个，卡巴清空。

醉一生爱妍

> 欢迎您使用山寨反流行病毒软件
> 流行病毒特征数: 17588

> 当前最新版本为 20081108-1
> 您现在使用的是最新版本！！！

> 山寨反流行病毒软件4.0隆重发布！更强的查杀能力！全球唯一一款驱动级的流行病毒查杀工具。同时3.1以下版本停止更新服务。

> 正在扫描指定目录病毒 2008年11月9日12时37分35秒

> 发现病毒!! new1.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new1.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new10.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new10.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new11.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new11.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new12.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new12.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new14.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new14.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new16.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new16.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new18.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new18.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new19.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new19.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new2.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new2.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new20.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new20.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new21.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new21.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new22.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new22.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new23.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new23.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new24.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new24.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new3.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new3.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new4.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new4.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new5.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new5.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new6.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new6.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new7.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new7.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new8.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new8.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

> 发现病毒!! new9.exe
> 清除成功 C:\Documents and Settings\Administrator\桌面\24\new9.exe
> 被清除的病毒在回收站中有备份 误杀时可方便恢复

alpher

晕，这里的咋都是用杀毒软件来写测试报告的。这个谁都会看啊……
这样的测试根本没有什么意义嘛。
昨日下载了OD，看了一早上的入门教程。会了一点点。
再用OD看sh17011.exe，哈哈，一片糊涂。。
昨日清理的后续……一共清理了3机器，清理完后，都装了NOD32。其中有一台机器，隔段时间下载一个文件，杀毒软件就不用测试了，肯定可以清除掉。
这个文件一下载到临时文件就被杀软件查出是病毒，然后中断，隔离。。不定时弹出，我查不出来是哪个程序访问的网络，去下载这个文件。

用“wsyscheck V1.68.33”查看过进程，无不正常DLL加载。
初步怀疑是否被改了系统文件。

另想问一句，microsoft的数字签名可以被人盗用的吗。让这些wsyscheck，SRENG，ICESWORD这类工具都识别不出真伪。
样本上传

[ 本帖最后由 alpher 于 2008-11-9 14:48 编辑 ]

dustychen

蜘蛛报了！

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\5Q0FZXH9\病毒[1].rar\新建文件夹\a.rar\a.exe - probably infected with DLOADER.Trojan
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\5Q0FZXH9\病毒[1].rar\新建文件夹\WowInitcode.rar\WowInitcode.dat - infected with Trojan.PWS.Gamania.origin

Archive contains 2 infected items