据说可以过并且结束KV,卡巴

显示全部楼层 · 发表于 2008-11-18 14:38:57

文件名：Stragger.exe
MD5值：E4FF51C88DE4FF88BD25FEB2B4E8B82A
PE信息：Microsoft Visual Basic 6.0编写/无壳

主要行为：
1.获取Debug权限
2.检查是否存在以下进程：

RavMon.exe
RavMonD.exe
CCenter.exe
Rav.exe
RavTask.exe
RsTray.exe
RavStub.exe
wmain.exe
rfwProxy.exe
rfwsrv.exe
rfwstub.exe
UlibCfg.exe
KAVPFW.exe
Kavstart.exe
kwatch.exe
kpfwsvc.exe
kmailmon.exe
kasmain.exe
kpfw32.exe
Navapw32.exe
Navapsvc.exe
nod32.exe
nod32krn.exe
kvprescan.exe
JMPPWallUI.exe
FWMon.exe
kvmonxp.kxp
kvsrvxp.exe
UpdaterUI.exe
shstat.exe
Tbmon.exe
Vstskmgr.exe
McShield.exe
Frameworkservice.exe
naPrdMgr.exe
avgas.exe
guard.exe
safeboxTray.exe
360safe.exe
360tray.exe
ast.exe
Iparmor.exe

存在的话则调用函数OpenProcess打开该进程的句柄，然后再调用函数TerminateProcess结束进程
3.释放%Windir%\system32\internat.exe和%CurrentDir%\a.bat（a.bat用于删除自身）
4.运行%Windir%\system32\internat.exe
5.internat.exe运行后创建注册表键：HKLM\software\microsoft\Windows\CurrentVersion\Run\Internat 值为：C:\WINDOWS\system32\internat.exe
6.联网208.67.219.132:80（美国），访问http://www.cdtrioy.com/s.txt（已失效，似乎是个下载列表）

[ 本帖最后由 will 于 2008-11-18 15:21 编辑 ]

显示全部楼层 · 发表于 2008-11-18 14:43:12

卡吧扫描没反应
F-SESURE扫描没反应
SAV扫描没反应
小红伞报告木马
在安装SAV10和FSCS8的虚拟机运行，文件直接失踪。。。internat.exe runtime error

显示全部楼层 · 发表于 2008-11-18 14:44:52

TO KL

显示全部楼层 · 发表于 2008-11-18 15:00:48

Hello,

Stragger.exe_ - Trojan-Downloader.Win32.VB.ium

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

显示全部楼层 · 发表于 2008-11-18 15:10:31

到底是否结束了KV进程请测试

显示全部楼层 · 发表于 2008-11-18 15:17:10

Multi Command-Line Scanner Report
-------------------------------------------------------------------------
D:\Desk\Samples\Collect\MCLS\Stragger.exe
Type: Win32 Executable Microsoft Visual Basic 6 / Extension: .EXE
MD5 Hash: E4FF51C88DE4FF88BD25FEB2B4E8B82A

A-squared ----- Win32.SuspectCrc!IK
Avast ----- Nothing
Avg ----- Generic12.MXR
Antivir ----- TR/Agent.40984
BitDefender ----- Generic.Malware.SP!BPk!.9F95CCB7
ClamWin ----- Nothing
Dr.Web ----- Nothing
Eset ----- probably unknown NewHeur_PE virus
Ikarus ----- Win32.SuspectCrc
Jiangmin ----- Nothing
Kaspersky ----- Nothing
Kingsoft ----- Win32.TrojDownloader.VB.40997
Vba32 ----- Nothing

*** 7/13 antivirus engines found virus in this file ***
-------------------------------------------------------------------------

Task done @ 2008/11/18 二 15:16:10.26

显示全部楼层 · 发表于 2008-11-18 15:27:03

有沒有C:\WINDOWS\system32\internat.exe?????

显示全部楼层 · 发表于 2008-11-18 15:29:35

请睁着眼睛说瞎话的人不要为了几毛钱丢了自己的良心

[ 本帖最后由 will 于 2008-11-18 15:30 编辑 ]

显示全部楼层 · 发表于 2008-11-18 15:31:42

那个internat.exe就是自身
它是拷贝自身到C:\windows\system32\internat.exe

显示全部楼层 · 发表于 2008-11-18 15:41:02

明白了

[病毒样本] 据说可以过并且结束KV,卡巴

评分

回复 5楼 jiffy 的帖子

回复 11楼 will 的帖子

KV09 拦截截图

本帖子中包含更多资源

回复 17楼 sam.to 的帖子

回复 19楼 will 的帖子

浏览过的版块