后门木马

lmsa613

江民：病毒英文名  Backdoor/Agent.bxeq  
            病毒中文名  “代理”变种bxeq

ych2006

小红伞：tr/agent.alue

328397663

Backdoor.Win32.Agent.tnr


卡巴定义

红心王子

2009-3-2        15:08:27        1235977707        Administrator        3940        Sign of "Win32:Trojan-gen {Other}" has been found in "d:\我的文档\桌面\打开.rar\打开.exe\[UPX]\[Embedded_I#01ea8]" file.

The EQs

又和瑞星有关

Ultra String Reference
Address    Disassembly                               Text String
0040106F   push    00403010                          %s\%d_res.tmp
0040120F   push    00403034                          comspecsedebugprivilege
0040122E   push    00403020                           /c del %s > nul
00401463   push    0040303C                          sedebugprivilege
00401532   push    00403070                          360tray.exeinstalldll%s\r%cm%ct%cc.dll
00401590   push    00403068                          safemon360tray.exeinstalldll%s\r%cm%ct%cc.dll
004015EF   mov     edi, 0040305C                     ws2_32.dll
0040161E   mov     edi, 00403050                     antispy.dllws2_32.dll
0040167C   push    0040309C                          rstray.exe
004016D4   push    00403088                          %s\r%cm%ct%cc.dll
004016E5   push    00403084                          dll%s\r%cm%ct%cc.dll
00401707   push    0040307C                          installdll%s\r%cm%ct%cc.dll
004018B2   push    00403C38                          \trelo type %d found at .%x\nstrange ntquerysysteminformation()!\n
004018F9   push    00403C2C                          no fixups!\n\trelo type %d found at .%x\nstrange ntquerysysteminformation()!\n
0040192B   push    00403D68                          ntquerysysteminformation
00401930   push    00403D5C                          ntdll.dll
004019B5   push    00403D3C                          failed to load! lasterror=%i\n
004019D6   push    00403D20                          keservicedescriptortable
004019E6   push    00403CF8                          can't find keservicedescriptortable\n
00401A0E   push    00403CD8                          can't find kiservicetable...\n
00401A28   push    00403CA0                          &kiservicetable==%08x\n\ndumping 'old' servicetable:\n\n
00401A9B   push    00403C7C                          \n\npossibly kiservicelimit==%08x\n
00401AB8   push    00403C54                          strange ntquerysysteminformation()!\n
00401AE9   push    00403DAC                          beep
00401B06   push    00403D94                          start beep service ok
00401B24   push    00403D84                          \\.\rising2008
00401B78   push    00403DAC                          beep
00401CAE   mov     edi, 00403DC8                     \drivers\beep.sys
00401D4B   push    00403DB4                          load driver failed!\drivers\beep.sys
00401DC4   push    ebp                               (initial cpu selection)
00404C31   push    1000F0AC                          \n
00405185   push    1000F104                          w杓1
00406862   push    10003D30                          la
004084FB   push    10004E80                          _
00408A41   push    1000F620                          p

328397663

Filename Result
####.exe  MALWARE

The file '####.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.alue. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.00.37. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: BDS/Backdoor.Gen.

kingsheet

卡巴
The requested URL http://bbs.kafan.cn/attachment.p ... d0&t=1235987956 is infected with Backdoor.Win32.Agent.tnr virus

黑衣~魂

DR.WEB
打开.exe - infected with Trojan.MulDrop.23267

mikzh

先 nod32杀之：
C:\Documents and Settings\Administrator\桌面\打开.rar > RAR > 打开.exe - Win32/Agent.DKR 特洛伊木马 的变种

jlj383940

扫描报告2009年3月2日 19:31:05 - 19:31:06计算机名称: JLJ01 扫描类型: 扫描指定目标 目标: E:\下载\dk.rar 结果: 发现 1 个恶意软件Backdoor.Win32.Agent.tnr (病毒) E:\下载\dk.rar\打开.exe

选项
定义版本:
病毒: 2009-03-02_05
间谍程序: 2009-03-02_01
扫描引擎:
F-Secure AVP: 7.00.171, 2009-03-02
F-Secure Hydra: 3.06.8511, 2009-03-02