1个

显示全部楼层 · 发表于 2009-2-22 10:57:39

Begin scan in 'D:\1.zip'
D:\1.zip
[NOTE] A backup was created as '4a1abf4b.qua' ( QUARANTINE )
[NOTE] The file was deleted!

显示全部楼层 · 发表于 2009-2-22 11:11:42

tsdc.jpg

[ 本帖最后由 hddu 于 2009-2-22 11:12 编辑 ]

显示全部楼层 · 发表于 2009-2-22 11:14:46

Ultra String Reference
Address Disassembly                            Text String
00182194 push 00182300                         殡\n
00182B10 push 00182B90                         software\borland\delphi\rtl
00182B44 push 00182BAC                         fpumaskvalue
0018316F mov    esi, 0018A058                   runtime error    at 00000000
0018322A push 0018A058                         runtime error    at 00000000
00183245 push 00183280                         \n\n
00183264 push 0018A050                         error
00183269 push 0018A058                         runtime error    at 00000000
00183FF2 mov    edx, 00184090                   \n\n
001840E2 mov    edx, 001841B4                   \n
001840EF mov    edx, 001841C0                   \n
00184211 mov    edx, 001842E4                   \n
0018421E mov    edx, 001842F0                   \n
001843B8 push 00184488                         kernel32.dll
001844FC push 001845D8                         shlwapi.dll
00184618 push 001846FC                         kernel32.dll
00184649 mov    edx, 00184714                   delete
00184661 mov    eax, 00184724                   f
00184679 mov    edx, 00184730                   ilea
00184817 mov    edx, 0018485C                   \
00184825 mov    edx, 0018485C                   \
00184896 push 0018496C                         kernel32.dll
001848C7 mov    edx, 00184984                   getwindo
001848D4 mov    edx, 00184998                   wsdirec
001848E1 mov    edx, 001849A8                   torya
00184A16 mov    edx, 00184A5C                   \
00184A24 mov    edx, 00184A5C                   \
00184A8C push 00184AE8                         sedebugprivilege
00184B32 push 00184BEC                         kernel32.dll
00184B60 mov    edx, 00184C04                   loadresource
00184D94 mov    eax, 00184E48
00184DE3 mov    eax, 00184E48
00184EB3 mov    edx, 00184FCC                   $
00185024 mov    eax, 001850D0                   :
0018504A mov    eax, 001850D0                   :
0018506B mov    edx, 001850DC                   \program files\internet explorer\
0018523A push 0018530C                         user32.dll
001853BB push 0018545C                         kernel32.dll
001853E6 push 0018546C                         getversion
001854AE push 00185564                         kernel32.dll
001854D9 push 00185574                         multibytetowidechar
00185659 push 00185744                         kernel32.dll
0018578A push 0018583C                         kernel32.dll
001857B5 push 0018584C                         writeprocessmemory
00185899 push 0018597C                         kernel32.dll
001859C2 push 00185A7C                         kernel32.dll
001859ED push 00185A8C                         createremotethread
00185AD3 push 00185B78                         kernel32.dll
00185AFE push 00185B88                         waitforsingleobject
00185C70 push 00185D3C                         loadlibraryw
00185C75 push 00185D4C                         kernel32.dll
00185E10 mov    edx, 00185EFC                   shel
00185E1D mov    edx, 00185F0C                   l32.
00185E2A mov    edx, 00185F1C                   dll
00185E63 push 00185F20                         shellexecutea
00185F48 mov    edx, 00185FF4                   c
00185F55 mov    edx, 00186000                   m
00185F62 mov    edx, 0018600C                   d  /
00185F6F mov    edx, 0018601C                   c d
00185F7C mov    edx, 00186028                   e
00185F89 mov    edx, 00186034                   l
0018606E push 00186128                         kernel32.dll
0018609C mov    edx, 00186140                   createtoolhelp32snapshot
0018618F push 00186234                         kernel32.dll
001861BA push 00186244                         process32first
00186287 push 0018632C                         kernel32.dll
001862B2 push 0018633C                         process32next
0018638F push 0018643C                         user32.dll
001863BA push 00186448                         getwindow
0018648D push 00186580                         user32.dll
001864C9 mov    eax, 00186594                   get
001864D6 mov    edx, 001865A0                   class
001864E3 mov    edx, 001865B0                   name
001864F0 mov    edx, 001865C0                   a
00186643 push 00186690                         \n\n
001866EB mov    ecx, 0018676C                   \n\n
00186974 mov    edx, 00186D38                   runi
00186983 mov    edx, 00186D48                   e
00186992 mov    edx, 00186D54                   p.
001869A1 mov    edx, 00186D48                   e
001869B0 mov    edx, 00186D60                   x
001869BF mov    edx, 00186D48                   e
001869CE mov    edx, 00186D6C                   k
001869DD mov    edx, 00186D78                   re
001869EC mov    edx, 00186D84                   ge
001869FB mov    edx, 00186D90                   x
00186A0A mov    edx, 00186D9C                   .e
00186A19 mov    edx, 00186D90                   x
00186A28 mov    edx, 00186DA8                   e
00186A41 mov    eax, 00186DB4                   kvxp.kxp
00186A50 mov    edx, 00186DC8                   3
00186A5F mov    edx, 00186DD4                   6
00186A77 mov    eax, 00186DE0                   0
00186A93 mov    edx, 00186DEC                   t
00186AA2 mov    edx, 00186DF8                   ra
00186AB1 mov    edx, 00186E04                   y
00186AC0 mov    edx, 00186D9C                   .e
00186ACF mov    edx, 00186D90                   x
00186ADE mov    edx, 00186DA8                   e
00186AED mov    edx, 00186E10                   rstra
00186AFC mov    edx, 00186E04                   y
00186B0B mov    edx, 00186E20                   .
00186B1A mov    edx, 00186DA8                   e
00186B29 mov    edx, 00186D90                   x
00186B38 mov    edx, 00186DA8                   e
00186B47 mov    edx, 00186E2C                   qq
00186B56 mov    edx, 00186E38                   doct
00186B65 mov    edx, 00186E48                   o
00186B74 mov    edx, 00186E54                   r
00186B8C mov    eax, 00186E20                   .
00186BA8 mov    edx, 00186DA8                   e
00186BB7 mov    edx, 00186D90                   x
00186BC6 mov    edx, 00186DA8                   e
00186BD5 mov    edx, 00186E60                   dr
00186BE4 mov    edx, 00186E6C                   r
00186BF3 mov    edx, 00186DEC                   t
00186C02 mov    edx, 00186E78                   p.
00186C11 mov    edx, 00186DA8                   e
00186C20 mov    edx, 00186D90                   x
00186C2F mov    edx, 00186DA8                   e
00186C7C mov    eax, 00186E84                   nt
00186C89 mov    edx, 00186E90                   sd.exe
00186CA6 mov    edx, 00186EA0                   -c q -p
00186CC7 mov    edx, 00186EAC                   open
00186EC1 mov    edx, 00186EE4                   avp.exe
00187963 mov    eax, 001879BC                   edit
001879F9 mov    eax, 00187AF8                   cabin
00187A06 mov    edx, 00187B08                   etwclass
00187A8A mov    edx, 00187B1C                   \
00187B56 push 00187C70                         user32.dll
00187B87 mov    edx, 00187C84                   get
00187B94 mov    edx, 00187C90                   window
00187BA1 mov    edx, 00187CA0                   thread
00187BAE mov    edx, 00187CB0                   pr
00187BBB mov    edx, 00187CBC                   oc
00187BC8 mov    edx, 00187CC8                   ess
00187BD5 mov    edx, 00187CD4                   i
00187BE2 mov    edx, 00187CE0                   d
00187DDB mov    edx, 00187EA0                   d
00187E08 mov    edx, 00187EAC                   e
00187E35 mov    edx, 00187EB8                   f
00187E4C mov    eax, 00187EC4                   auto.exe
00187ED5 mov    edx, 00187F04                   softwa
00187EE1 mov    edx, 00187F14                   re\microsoft\windows\cur
00187EED mov    edx, 00187F38                   rentversion\policies\explorer\run
00187FC0 mov    edx, 00187FFC                   reg_start
0018804C mov    edx, 00188134                   dfjje.exe
00188059 push 00188148                         \
0018807D push 00188148                         \
001880AC push 00188148                         \
001880D8 push 00188148                         \
0018816D mov    eax, 001881A8                   auto.exe
001881F1 mov    edx, 001882A4                   jjxzbjcj32dl.dll
001882F5 mov    eax, 001883C4                   fn_dll
00188324 mov    edx, 001883D4                   iexp
00188330 mov    edx, 001883E4                   lore.exe
0018833A push 001883F8                         no
0018833F mov    ecx, 00188404                   check_associations
00188344 mov    edx, 00188420                   software\microsoft\internet explorer\main
00188355 mov    ecx, 00188454                   enableautodial
0018835A mov    edx, 0018846C                   software\microsoft\windows\currentversion\internet settings
0018836B mov    ecx, 001884B0                   nonetautodial
00188370 mov    edx, 0018846C                   software\microsoft\windows\currentversion\internet settings
00188381 mov    ecx, 001884C8                   checkedvalue
00188386 mov    edx, 001884E0                   software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
0018856D push 0018862C                         kernel32.dll
0018859B mov    edx, 00188644                   openprocess
0018869D mov    edx, 001887EC                   myd32
001886AA mov    edx, 001887FC                   myd
001886E4 mov    edx, 00188808                   ieframe
00188898 mov    edx, 00188940                   old_exe
001888C0 mov    edx, 00188950                   old_dll3
001888CD mov    edx, 00188964                   2
00188A36 mov    edx, 00189120                   c:\documents and sett
00188A45 mov    edx, 00189140                   ings\all use
00188A54 mov    edx, 00189158                   rs\
00188A63 mov    edx, 00189164                   jjjydf
00188A72 mov    edx, 00189174                   16.ini
00188ABB mov    ecx, 00189184                   \
00188B01 mov    eax, 00189190                   startup
00188B0E mov    edx, 001891A0                   software\microsoft\windows\currentversion\explorer\shell folders
00188B2D mov    eax, 001891EC                   31383934343730313937393832373035697c7d743e282f767e7027693136363d2f6b66692b6a796566706726637470
00188BA0 mov    eax, 001892F4                   0
00188BC5 mov    edx, 00189308                   0
00188D3D mov    eax, 0018931C                   090222
00188D54 push 00189330                         jjxzwzjy
00188D5F push 00189344                         .exe
00188DC0 mov    edx, 00189344                   .exe
00188E0A mov    edx, 00189354                   mydown
00188E19 mov    edx, 00189364                   ver
00188E28 mov    edx, 00189370                   fnexe
00188E3C mov    ecx, 00189308                   0
00188EC0 mov    edx, 00189380                   old_exe
00188EF6 mov    edx, 00189390                   fn_dll
00188F22 mov    edx, 001893A0                   old_dll3
00188F31 mov    edx, 001893B4                   2
00188FBA mov    edx, 00189344                   .exe

[ 本帖最后由 EQ2 于 2009-2-22 11:16 编辑 ]

显示全部楼层 · 发表于 2009-2-22 11:17:45

名称: Packed/Upack
类型: Sequence

描述:

文件:
c:\users\administrator\desktop\1.exe

显示全部楼层 · 发表于 2009-2-22 11:19:34

AVAST报毒了

显示全部楼层 · 发表于 2009-2-22 11:48:12

C:\Documents and Settings\GUNDAM\桌面\1.zip » ZIP » 1.exe - a variant of Win32/AutoRun.Delf.AK worm

显示全部楼层 · 发表于 2009-2-22 11:53:07

a-squared 4.0.0.93 2009.02.22 Trojan-Spy.Win32.Banker.anv!IK
AhnLab-V3 2009.2.21.0 2009.02.21 -
AntiVir 7.9.0.87 2009.02.21 TR/ATRAPS.Gen
Authentium 5.1.0.4 2009.02.21 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.02.22 Win32:Agent-SIM
AVG 8.0.0.237 2009.02.21 Suspicion: unknown virus
BitDefender 7.2 2009.02.22 Generic.Malware.SP!dldspg.3CF50138
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.22 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.22 Trojan.PWS.Wsgame.origin
eSafe 7.0.17.0 2009.02.19 Suspicious File
eTrust-Vet 31.6.6368 2009.02.20 Win32/Hotpop!generic
F-Prot 4.4.4.56 2009.02.21 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.02.22 Worm.Win32.AutoRun.aasa
Fortinet 3.117.0.0 2009.02.21 -
GData 19 2009.02.22 Generic.Malware.SP!dldspg.3CF50138
Ikarus T3.1.1.45.0 2009.02.22 Trojan-Spy.Win32.Banker.anv
K7AntiVirus 7.10.639 2009.02.21 Generic.Packed.Upack
Kaspersky 7.0.0.125 2009.02.22 Worm.Win32.AutoRun.aasa
McAfee 5532 2009.02.21 New Malware.n
McAfee+Artemis 5532 2009.02.21 New Malware.n
Microsoft 1.4306 2009.02.21 TrojanSpy:Win32/Hitpop.gen!C
NOD32 3875 2009.02.21 a variant of Win32/AutoRun.Delf.AK
Norman 6.00.06 2009.02.20 W32/Packed_Upack.H
nProtect 2009.1.8.0 2009.02.22 Generic.Malware.SP!dldspg.3CF50138
Panda 10.0.0.10 2009.02.21 Suspicious file
PCTools 4.4.2.0 2009.02.21 Packed/Upack
Prevx1 V2 2009.02.22 -
Rising 21.17.52.00 2009.02.21 -
SecureWeb-Gateway 6.7.6 2009.02.22 Trojan.ATRAPS.Gen
Sophos 4.39.0 2009.02.22 Mal/Autorun-C
Sunbelt 3.2.1855.2 2009.02.17 Worm.Win32.AutoRun.vlh
Symantec 10 2009.02.22 Suspicious.MH690.A
TheHacker 6.3.2.4.263 2009.02.21 W32/Behav-Heuristic-060
TrendMicro 8.700.0.1004 2009.02.20 Cryp_Upack
VBA32 3.12.10.0 2009.02.22 suspected of Backdoor.XiaoBird.5 (paranoid heuristics)
ViRobot 2009.2.20.1617 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.21 Packed/Upack

显示全部楼层 · 发表于 2009-2-22 11:55:47

不够狡猾的病毒

显示全部楼层 · 发表于 2009-2-22 11:57:49

卡巴 kill

[病毒样本] 1个

本帖子中包含更多资源

本帖子中包含更多资源

回复 4楼 EQ2 的帖子

本帖子中包含更多资源