查看: 2424|回复: 12
收起左侧

[病毒样本] VT好几个不报

[复制链接]
九尾野狐
头像被屏蔽
发表于 2008-11-28 17:56:53 | 显示全部楼层 |阅读模式
反病毒引擎          版本          最后更新          扫描结果
AhnLab-V3        2008.11.27.4        2008.11.28        -
AntiVir        7.9.0.35        2008.11.28        TR/Crypt.FKM.Gen
Authentium        5.1.0.4        2008.11.28        -
Avast        4.8.1281.0        2008.11.27        -
AVG        8.0.0.199        2008.11.27        Worm/Generic.PZS
BitDefender        7.2        2008.11.28        -
CAT-QuickHeal        10.00        2008.11.28        -
ClamAV        0.94.1        2008.11.28        -
DrWeb        4.44.0.09170        2008.11.28        -
eSafe        7.0.17.0        2008.11.27        Suspicious File
eTrust-Vet        31.6.6234        2008.11.28        -
Ewido        4.0        2008.11.27        -
F-Prot        4.4.4.56        2008.11.27        -
F-Secure        8.0.14332.0        2008.11.28        Suspicious:W32/Malware!Gemini
Fortinet        3.117.0.0        2008.11.28        PossibleThreat
GData        19        2008.11.28        -
Ikarus        T3.1.1.45.0        2008.11.28        -
K7AntiVirus        7.10.536        2008.11.27        -
Kaspersky        7.0.0.125        2008.11.28        -
McAfee        5447        2008.11.27        W32/Generic.d
McAfee+Artemis        5447        2008.11.27        W32/Generic.d
Microsoft        1.4104        2008.11.28        -
NOD32        3647        2008.11.27        probably a variant of Win32/Injector.DW
Norman        5.80.02        2008.11.27        -
Panda        9.0.0.4        2008.11.28        -
PCTools        4.4.2.0        2008.11.27        -
Prevx1        V2        2008.11.28        -
Rising        21.05.40.00        2008.11.28        -
SecureWeb-Gateway        6.7.6        2008.11.28        Trojan.Crypt.FKM.Gen
Sophos        4.36.0        2008.11.28        Mal/Behav-156
Sunbelt        3.1.1832.2        2008.11.27        Trojan-Dropper.Win32.VB!cobra (v)
Symantec        10        2008.11.28        -
TheHacker        6.3.1.1.166        2008.11.28        -
TrendMicro        8.700.0.1004        2008.11.28        PAK_Generic.001
VBA32        3.12.8.9        2008.11.27        -
ViRobot        2008.11.28.1490        2008.11.28        -
VirusBuster        4.5.11.0        2008.11.27        -

[ 本帖最后由 九尾野狐 于 2008-11-28 17:58 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
九尾野狐
头像被屏蔽
 楼主| 发表于 2008-11-28 17:57:13 | 显示全部楼层
运行后向system32目录释放exe  并调用  修改时间
2008-11-28 15:12:01    创建文件      
进程路径:E:\Once\7.exe
文件路径:C:\WINDOWS\system32\kl.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

2008-11-28 15:13:21    运行应用程序      
进程路径:E:\Once\7.exe
文件路径:C:\WINDOWS\system32\kl.exe
触发规则:所有程序规则->阻止运行->%windir%\*

2008-11-28 15:13:31    修改系统时间      
进程路径:C:\WINDOWS\system32\kl.exe
更改后系统时间:2006-11-26 7:13
触发规则:所有程序规则->*


向system32目录释放exe   hash一致
2008-11-28 15:12:01    创建文件      
进程路径:E:\Once\7.exe
文件路径:C:\WINDOWS\system32\dianying.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe


修改显示隐藏文件设置
2008-11-28 15:12:09    修改注册表内容      
进程路径:E:\Once\7.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
更改后:0
触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2008-11-28 15:13:37    修改注册表内容      
进程路径:E:\Once\7.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:Type
触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*


创建启动项
2008-11-28 15:13:37    创建注册表值      
进程路径:E:\Once\7.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:StormCodec_Helper
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-11-28 15:13:37    创建注册表值      
进程路径:E:\Once\7.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:CnxDslTaskBar
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


调用svchost.exe 并修改进程内存
2008-11-28 15:14:26    运行应用程序      
进程路径:E:\Once\7.exe
文件路径:C:\WINDOWS\system32\svchost.exe
命令行:fuck
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe

2008-11-28 15:14:27    修改其它进程内存      
进程路径:E:\Once\7.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe


svchost.exe修改自身文件
2008-11-28 15:15:34    修改文件      
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe


调用kl.exe修改系统时间
2008-11-28 15:15:45    运行应用程序      
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\kl.exe
触发规则:所有程序规则->阻止运行->%windir%\*

2008-11-28 15:15:49    修改系统时间      
进程路径:C:\WINDOWS\system32\kl.exe
更改后系统时间:2006-11-26 7:15
触发规则:所有程序规则->*


修改隐藏文件设置、创建启动项
2008-11-28 15:16:55    修改注册表内容      
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
更改后:0
触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2008-11-28 15:16:56    修改注册表内容      
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:Type
触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2008-11-28 15:16:56    创建注册表值      
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:StormCodec_Helper
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-11-28 15:16:56    创建注册表值      
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:CnxDslTaskBar
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*




联网行为:




关键行为:

向系统目录创建exe

调用svchost.exe  并修改进程内存


防范对策:


使用HIPS阻止陌生程序向系统目录创建exe

使用HIPS阻止陌生程序调用svchost.exe  并修改进程内存

使用HIPS阻止陌生程序修改隐藏文件设置

使用HIPS阻止陌生程序创建启动项
syfwxmh
发表于 2008-11-28 18:05:29 | 显示全部楼层

回复 2楼 九尾野狐 的帖子

首先恭喜你加入毒组:)

TO KL

卡巴启发kill

[ 本帖最后由 syfwxmh 于 2008-11-28 18:06 编辑 ]
九尾野狐
头像被屏蔽
 楼主| 发表于 2008-11-28 18:06:47 | 显示全部楼层
什么毒组KL
syfwxmh
发表于 2008-11-28 18:07:14 | 显示全部楼层

回复 4楼 九尾野狐 的帖子

你不是申请加入毒组了吗
九尾野狐
头像被屏蔽
 楼主| 发表于 2008-11-28 18:07:31 | 显示全部楼层

忘了
syfwxmh
发表于 2008-11-28 18:13:42 | 显示全部楼层

回复 6楼 九尾野狐 的帖子

厄~~这忘的也忒速度了~
lingbo110120
发表于 2008-11-28 18:46:04 | 显示全部楼层

回复 7楼 syfwxmh 的帖子

....那个这个...
没我什么事?
挪威的冬天
发表于 2008-11-28 18:49:42 | 显示全部楼层
svchost 是直接从沙盘还原的对吧?

这个不是被修改的 这个就是系统文件

现在新版本沙盘可能做变动了

包括替换 BEEP。SYS 之类的

还原出来的文件一检查都是 OK 的系统文件
九尾野狐
头像被屏蔽
 楼主| 发表于 2008-11-28 18:55:45 | 显示全部楼层
没用过沙盘


2008-11-28 15:15:34    修改文件      
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe


这一步我是直接允许了的

然后直接打包上传

[ 本帖最后由 九尾野狐 于 2008-11-28 18:57 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 17:33 , Processed in 0.164478 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表