收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 目前各杀软件均无法彻底删除的木马下载病毒
12下一页
返回列表 发新帖
查看: 4611|回复: 17
收起左侧

[病毒样本] 目前各杀软件均无法彻底删除的木马下载病毒

[复制链接]
kseed
发表于 2009-2-18 14:29:37 | 显示全部楼层 |阅读模式
该木马下载器的感染源具体位置目前不明,由感染源洐生出来的三个文件bai.BAT、bai.VBS、help.dll,会在C盘的HELP文件夹中逐个生成,然后在某个木马网站大量的下载病毒,重装系统或者格式化C盘后,一样会随时生成这个文件。试过用杀软件查杀,但只能将bai.BAT、bai.VBS、help.dll删除,过后又能自动生成,并且在试过勾除了隐藏受保护系统文件的设置选项后对其他盘进行查找,也没有发现任何可疑文件。该病毒出现的时间大约已有2到3年,目前还没有真正可以将它清除的方法(病毒的具体情况在网上都能查得到),只能通过组策略禁止由病毒主体洐生出来三个文件运行,杀毒软件也只能将bai.BAT、bai.VBS、help.dll这三个文件清除,而无法将病毒主体清除。

以下是在VirusTotal的扫描结果:
文件 ____________.rar 接收于 2009.02.18 10:00:12 (CET)
反病毒引擎版本最后更新扫描结果
a-squared4.0.0.932009.02.18VBS.Small.ELS!IK
AhnLab-V35.0.0.22009.02.18-
AntiVir7.9.0.832009.02.18VBS/Small.ELS
Authentium5.1.0.42009.02.18BAT/Small.O
Avast4.8.1335.02009.02.17BV:Malware-gen
AVG8.0.0.2372009.02.17-
BitDefender7.22009.02.18-
CAT-QuickHeal10.002009.02.18-
ClamAV0.94.12009.02.18-
Comodo9822009.02.17-
DrWeb4.44.0.091702009.02.18-
eSafe7.0.17.02009.02.17-
eTrust-Vet31.6.63632009.02.18-
F-Prot4.4.4.562009.02.17BAT/Small.O
F-Secure8.0.14470.02009.02.18-
Fortinet3.117.0.02009.02.18-
GData192009.02.18BV:Malware-gen
IkarusT3.1.1.45.02009.02.18VBS.Small.ELS
K7AntiVirus7.10.6302009.02.14-
Kaspersky7.0.0.1252009.02.18-
McAfee55292009.02.17-
McAfee+Artemis55292009.02.17-
Microsoft1.43062009.02.18-
NOD3238632009.02.18-
Norman6.00.062009.02.17-
nProtect2009.1.8.02009.02.18-
Panda10.0.0.102009.02.17-
PCTools4.4.2.02009.02.17-
Prevx1V22009.02.18-
Rising21.17.21.002009.02.18-
SecureWeb-Gateway6.7.62009.02.18Script.Small.ELS
Sophos4.38.02009.02.18VBS/Small-ELS
Sunbelt3.2.1855.22009.02.17-
Symantec102009.02.18-
TheHacker6.3.2.2.2592009.02.18-
TrendMicro8.700.0.10042009.02.18-
ViRobot2009.2.18.16122009.02.18-
VirusBuster4.5.11.02009.02.17-

附加信息
File size: 494 bytes
MD5...: b841b48775073cd416eb22f2cbd7bbc4
SHA1..: d22d362cab84073f71b61271e9a1247726c808f7
SHA256: 94f2b56ad066639082a013a4d58411aba5f650cb1c9e7cfbf476a1606cb74bbc
SHA512: 0410638038d3796153d6c17861296e08b146d0cf7b3a177a30d3ed6b5ad4243a<BR>487335f5ffd79b0269bc9a690fa6a3dcfa99df9aa4c1b2bfd4e586768e6e93c3<BR>
ssdeep: 12:hnrJ8kPuHh5xYTkpl734onASQ0mKD31MDyzRch/QoEoo9AMDqY:hd8MuHZYgL<BR>7I6vQrY3B+hxEZS3Y<BR>
PEiD..: -
TrID..: File type identification<BR>RAR Archive (83.3%)<BR>REALbasic Project (16.6%)
PEInfo: -


[ 本帖最后由 kseed 于 2009-2-19 17:58 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ledled
发表于 2009-2-18 14:30:59 | 显示全部楼层
to VB
回复

举报

FLogo
发表于 2009-2-18 14:32:56 | 显示全部楼层

回复 1楼 kseed 的帖子

to kaba kill,waiting for reply。。。
回复

举报

kseed
 楼主| 发表于 2009-2-18 15:20:42 | 显示全部楼层
感谢各位测试,正在期待结果~~
回复

举报

江湖的fans
发表于 2009-2-18 16:49:21 | 显示全部楼层
占楼
回复

举报

黑衣~魂
发表于 2009-2-18 16:54:53 | 显示全部楼层
TO-DW
回复

举报

floozy
发表于 2009-2-18 16:59:14 | 显示全部楼层
是脚本批处理文件, 通过ftp命令下载病毒,然后运行的
回复

举报

qihuakai
头像被屏蔽
发表于 2009-2-18 17:02:23 | 显示全部楼层
TO ESET
http://www.virustotal.com/zh-cn/analisis/a4bdb202169096220e9d6cdbfe343d69
文件 ____________.rar 接收于 2009.02.18 10:00:12 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止

结果: 9/38 (23.69%)

正在读取服务器信息中...
您的文件所排队列位置: 2.
预计开始时间为 70 和 100 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本
打印结果


您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.  
Email:



反病毒引擎版本最后更新扫描结果
a-squared4.0.0.932009.02.18VBS.Small.ELS!IK
AhnLab-V35.0.0.22009.02.18-
AntiVir7.9.0.832009.02.18VBS/Small.ELS
Authentium5.1.0.42009.02.18BAT/Small.O
Avast4.8.1335.02009.02.17BV:Malware-gen
AVG8.0.0.2372009.02.17-
BitDefender7.22009.02.18-
CAT-QuickHeal10.002009.02.18-
ClamAV0.94.12009.02.18-
Comodo9822009.02.17-
DrWeb4.44.0.091702009.02.18-
eSafe7.0.17.02009.02.17-
eTrust-Vet31.6.63632009.02.18-
F-Prot4.4.4.562009.02.17BAT/Small.O
F-Secure8.0.14470.02009.02.18-
Fortinet3.117.0.02009.02.18-
GData192009.02.18BV:Malware-gen
IkarusT3.1.1.45.02009.02.18VBS.Small.ELS
K7AntiVirus7.10.6302009.02.14-
Kaspersky7.0.0.1252009.02.18-
McAfee55292009.02.17-
McAfee+Artemis55292009.02.17-
Microsoft1.43062009.02.18-
NOD3238632009.02.18-
Norman6.00.062009.02.17-
nProtect2009.1.8.02009.02.18-
Panda10.0.0.102009.02.17-
PCTools4.4.2.02009.02.17-
Prevx1V22009.02.18-
Rising21.17.21.002009.02.18-
SecureWeb-Gateway6.7.62009.02.18Script.Small.ELS
Sophos4.38.02009.02.18VBS/Small-ELS
Sunbelt3.2.1855.22009.02.17-
Symantec102009.02.18-
TheHacker6.3.2.2.2592009.02.18-
TrendMicro8.700.0.10042009.02.18-
ViRobot2009.2.18.16122009.02.18-
VirusBuster4.5.11.02009.02.17-
附加信息
File size: 494 bytes
MD5...: b841b48775073cd416eb22f2cbd7bbc4
SHA1..: d22d362cab84073f71b61271e9a1247726c808f7
SHA256: 94f2b56ad066639082a013a4d58411aba5f650cb1c9e7cfbf476a1606cb74bbc
SHA512: 0410638038d3796153d6c17861296e08b146d0cf7b3a177a30d3ed6b5ad4243a
487335f5ffd79b0269bc9a690fa6a3dcfa99df9aa4c1b2bfd4e586768e6e93c3
ssdeep: 12:hnrJ8kPuHh5xYTkpl734onASQ0mKD31MDyzRch/QoEoo9AMDqY:hd8MuHZYgL
7I6vQrY3B+hxEZS3Y
PEiD..: -
TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)
PEInfo: -
回复

举报

kseed
 楼主| 发表于 2009-2-18 17:19:44 | 显示全部楼层
之前我也在论坛内看见过某个兄弟发问过这样一个病毒的解决方法,不过,当时讨论到最后都没有一个可将此病毒完全清除的方法,所以现在再次发问一下~~希望能得到解决~~

[ 本帖最后由 kseed 于 2009-2-18 17:21 编辑 ]
回复

举报

左手
发表于 2009-2-18 19:28:22 | 显示全部楼层
2009-02-18 19:27:14    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:应用程序规则->允许的系统操作->%SystemDrive%\*->%SystemDrive%\*


不会格了吧?
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-19 17:49 , Processed in 0.133286 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表