本想怀旧超级玛丽，却中捆绑病毒

显示全部楼层 · 发表于 2008-12-1 22:12:28

无法显示网页

显示全部楼层 · 发表于 2008-12-1 22:18:45

安装程序中间小红伞不断报毒。
我就关了小红伞监控。
后来微点也报毒了。
貌似小红伞一定程度上影响了微点的判断。
之后就那样了。
微点删除C:\WINDOWS\BITSV.EXE后下次重启还会在C:\WINDOWS生成BITSV.EXE。
这是在小红伞的情况下，微点日记里面的。
2008-12-01 12:36:24 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\INTEFIO.EXE C:\WINDOWS\SYSTEM\INERT.EXE
2008-12-01 12:32:47 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\STUB.EXE C:\WINDOWS\BITSV.EXE
2008-12-01 12:31:57 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\STAPI.EXE C:\WINDOWS\BITSV.EXE
2008-12-01 12:31:57 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\KILL360BOX.EXE C:\WINDOWS\BITSV.EXE
后来只用微点：
运行：
mpsms.exe
mpsmx.exe
mpsmo.exe
就没有生成那么多的衍生物了：
2008-12-01 22:04:27 C:\WINDOWS\SYSTEM32\WUSTAL.DLL C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\MPSMX.EXE
2008-12-01 22:04:05 C:\WINDOWS\SYSTEM32\DRIVERS\DZXDDG.SYS C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\MPSMO.EXE
2008-12-01 22:04:05 C:\WINDOWS\SYSTEM32\AJZZY.DLL C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\MPSMO.EXE
全部被微点阻止了。

[ 本帖最后由 bbeikke 于 2008-12-1 22:23 编辑 ]

显示全部楼层 · 发表于 2008-12-1 22:44:45

原帖由 bbeikke 于 2008-12-1 22:18 发表
安装程序中间小红伞不断报毒。
我就关了小红伞监控。
后来微点也报毒了。
貌似小红伞一定程度上影响了微点的判断。
之后就那样了。
微点删除C:\WINDOWS\BITSV.EXE后下次重启还会在C:\WINDOWS生成BITSV.EXE。
这 ...

我上传了，红伞回复说是正常程序，我ORZ

你把生成的BITSV.EXE打包上报红伞吧

显示全部楼层 · 发表于 2008-12-2 09:14:17

有意思
Virus or unwanted program 'TR/ATRAPS.Gen [trojan]'
detected in file 'D:\Sandbox\user\DefaultBox\user\current\Application Data\kill360box.exe.
Action performed: Deny access
Virus or unwanted program 'DR/Delphi.Gen [dropper]'
detected in file 'D:\Sandbox\user\DefaultBox\user\current\Application Data\mpsmx.exe.
Action performed: Deny access
Virus or unwanted program 'BDS/Bifrose.XML.52 [backdoor]'
detected in file 'D:\Sandbox\user\DefaultBox\user\current\Application Data\stapi.exe.
Action performed: Deny access
Virus or unwanted program 'TR/Dldr.BHOSta [trojan]'
detected in file 'D:\Sandbox\user\DefaultBox\user\current\Application Data\nsect.exe.
Action performed: Deny access
Virus or unwanted program 'DR/Delphi.Gen [dropper]'
detected in file 'D:\Sandbox\user\DefaultBox\user\current\Application Data\mpsmx.exe.
Action performed: Deny access

显示全部楼层 · 发表于 2008-12-2 09:43:28

用EQ测试了一下没发现什么异常啊？

显示全部楼层 · 发表于 2008-12-2 09:52:25

我这边也没什么异常

，允许了也没什么改动。郁闷？？？

显示全部楼层 · 发表于 2008-12-2 12:48:06

这个病毒其实就是前一阵子will提供的一包病毒中的一个
我当时运行测试微点没有完全拦截之后……

显示全部楼层 · 发表于 2008-12-2 12:58:59

我在虚拟机上运行后，我的卡巴2009竟然一运行能扫描就退出

显示全部楼层 · 发表于 2008-12-2 13:23:42

原帖由 浪滔天 于 2008-11-30 22:55 发表
漏了一条，会联网下载　
http://downso.3322.org/asp/mpsms.exe
http://www.322311.cn/asp/mpsmx.exe
http://www.662661.cn/asp/mpsmo.exe

我的卡巴设了阻止直接下载exe文件的规则．

不知道是什么东 ...

下载物被nis09干掉了

显示全部楼层 · 发表于 2008-12-2 14:06:18

原帖由 浪滔天 于 2008-11-30 23:23 发表
就是这个生成物联网下载的，可卡巴居然还把它放入了信任组。

安全级别：安全
软件名： irsetup.exe
出品公司：Indigo Rose Corporation
产品名称：Setup Factory 7.0 Runtime
版本号： 7.0.1.0
文件大小：451072byte
上报时间：2008-6-24 9:39:57
MD5值： 75CA7FF96BF5A316C3AF2DE6A412BD54

卡巴把它放入信任组是没错的。估计是其它程序通过它下载的，这种情况卡巴应该有提示的。请高手们仔细分析一下过程看看。

[ 本帖最后由 sloganall 于 2008-12-2 14:14 编辑 ]

[病毒样本] 本想怀旧超级玛丽，却中捆绑病毒

回复 30楼 shmily512099 的帖子

回复 1楼 bbeikke 的帖子