收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 红伞报TR/Vtool.Afrootix.64000A 【kaba miss】
12下一页
返回列表 发新帖
查看: 3724|回复: 11
收起左侧

[病毒样本] 红伞报TR/Vtool.Afrootix.64000A 【kaba miss】

[复制链接]
幸福的猪猪
发表于 2009-3-2 16:43:50 | 显示全部楼层 |阅读模式
RT,不知道这个是什么病毒,好像很少见到似的!(Afrootix的定义是?)
病毒在沙盘生成一个5.exe的文件,貌似还有启动服务的迹象!
to kaba kill!



[ 本帖最后由 幸福的猪猪 于 2009-3-2 16:49 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

328397663
发表于 2009-3-2 16:50:22 | 显示全部楼层
卡巴杀

燜ilenameResult
5.exe MALWARE

The file '5.exe' has been determined to be 'MALWARE'.
Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload. Detection will be added to our virus definition file (VDF) with one of the next updates. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: HEUR/Crypted.

[ 本帖最后由 328397663 于 2009-3-2 23:42 编辑 ]
回复

举报

幸福的猪猪
 楼主| 发表于 2009-3-2 16:51:05 | 显示全部楼层

回复 2楼 328397663 的帖子

红伞不是已经可以识别的嘛!
回复

举报

The EQs
发表于 2009-3-2 16:55:24 | 显示全部楼层
Ultra String Reference
Address    Disassembly                               Text String
00426F0D   push    00426338                          \
00426FB6   push    0042633C                          \ntdll.dll
004270A6   push    00426348                          \
004270DB   push    0042634C                          .exe
004270F0   push    00426358                          .dll
004275BF   push    004263A0                          addaccessallowedaceex
004275C4   push    004263B8                          advapi32.dll
00427699   push    004263C8                          setsecuritydescriptorcontrol
0042769E   push    004263E8                          advapi32.dll
0042784D   push    004263F8
00427C65   push    004263FC
00427CCB   push    00426400                          %d
00427D94   push    00426404                          [%s]\n\n
00427EB4   push    0042640C                          reg_sz
00427EC0   push    00426414                          %-24s %-15s %s \n\n
00427EE1   push    00426428                          reg_expand_sz
00427EED   push    00426438                          %-24s %-15s %s \n\n
00427F12   push    0042644C                          reg_dword
00427F1E   push    00426458                          %-24s %-15s 0x%x(%d) \n\nreg_multi_sz
00427F35   push    00426470                          reg_multi_sz
00427F41   push    00426480                          %-24s %-15s \n\n
00427F58   push    00426490                          reg_binary
00427F64   push    0042649C                          %-24s %-15s \n\n
004282E5   push    004264AC                          \drivers
00428300   push    004264B8                          getusernamea
00428305   push    004264C8                          advapi32.dll
00428388   push    004264D8                          netapi32.dll
00428399   push    004264E8                          netusergetlocalgroups
004283B0   push    00426500                          netapibufferfree
00428574   push    00426514                          \temp
00428598   push    0042651C                          c:\temptmptemp
004285AB   push    00426524                          tmptemp
004285BA   push    00426528                          temp
00428635   push    00426530                          %s\%d_re.tmp
004287CC   push    00426540                          %s
00428868   push    00426544                          netsvcsnetsvcsregopenkeyex
00428991   push    0042654C                          netsvcsregopenkeyex
00428A94   mov     dword ptr [ebp-9D8], 00426554     regopenkeyex
00428AD0   push    00426564                          netsvcsregqueryvalueex(svchost\netsvcs)
00428AFE   mov     dword ptr [ebp-9DC], 0042656C     regqueryvalueex(svchost\netsvcs)
00428B43   mov     dword ptr [ebp-9E0], 00426590     openscmanager()%systemroot%\system32\svchost.exe -k netsvcs
00428B5E   mov     dword ptr [ebp-644], 004265A0     %systemroot%\system32\svchost.exe -k netsvcs
00428C12   push    004265D0                          system\currentcontrolset\services\%s\parametersservicedll
00428C36   push    00426600                          servicedll
00428CC8   push    0042660C                          .log
00428DD0   push    00426614                          iprip
00428DE8   push    0042661C                          nwsapagent
00428E02   push    00426628                          serviceone
00428E1A   push    00426634                          servicetwo
00428E3E   push    00426640                          system\currentcontrolset\services\%s
00428E62   push    00426668                          imagepath
00428ED4   push    00426674                          %s\nt%s.dll.bak
00428F41   push    00426688                          .del
0042901C   push    00426690                          %s\nt%s.dllcreateservice(parameters)
004290CC   mov     dword ptr [ebp-9E8], 0042669C     createservice(parameters)
00429109   push    004266B8                          system\currentcontrolset\services\%s
00429131   push    004266E0                          description\parametersservicedll
0042914A   push    004266EC                          \parametersservicedll
00429175   push    004266F8                          servicedll
00429192   push    00426704                          antivirus
00429199   push    00426710                          servicemainbaijinupdate
00429439   mov     dword ptr [ebp-8], 0042671C       baijinupdate
004294FD   push    0042672C                          system\currentcontrolset\services\%s
0042952B   push    00426754                          module
004295A0   push    00426780                          loadlibrarya
004295A5   push    00426790                          kernel32.dll
004295D4   push    004267A0                          version.dllgetfileversioninfosizeagetfileversioninfoaverqueryvaluea
004295E4   push    004267AC                          getfileversioninfosizeagetfileversioninfoaverqueryvaluea
004295F8   push    004267C4                          getfileversioninfoaverqueryvaluea
0042960C   push    004267D8                          verqueryvaluea
00429620   push    004267E8                          kernel32.dll
0042962E   push    004267F8                          beginupdateresourcea
00429642   push    00426810                          endupdateresourcea
00429656   push    00426824                          updateresourceaadvapi32.dll
00429672   push    00426834                          advapi32.dll
00429680   push    00426844                          setsecuritydescriptordacl
00429694   push    00426860                          addace
004296A8   push    00426868                          equalsid
004296BC   push    00426874                          getace
004296D0   push    0042687C                          getaclinformation
004296E4   push    00426890                          getsecuritydescriptorcontrol
004296F8   push    004268B0                          getsecuritydescriptordacl
0042970C   push    004268CC                          addaccessallowedaceadjusttokenprivileges
00429720   push    004268E0                          adjusttokenprivileges
00429734   push    004268F8                          allocateandinitializesid
00429748   push    00426914                          buildexplicitaccesswithnamea
0042975C   push    00426934                          freesidgetlengthsid
00429770   push    0042693C                          getlengthsid
00429784   push    0042694C                          initializeacl
00429798   push    0042695C                          initializesecuritydescriptor
004297AC   push    0042697C                          isvalidsid
004297C0   push    00426988                          lookupaccountnamea
004297D4   push    0042699C                          lookupaccountsida
004297E8   push    004269B0                          lookupprivilegevaluea
004297FC   push    004269C8                          getfilesecuritya
00429810   push    004269DC                          setfilesecuritya
00429824   push    004269F0                          regsetkeysecurity
00429840   push    00426A04                          kernel32.dll
0042984E   push    00426A14                          movefilea
00429862   push    00426A20                          setfiletimecreatefileadeletefileafindfirstfilea
00429876   push    00426A2C                          createfileadeletefileafindfirstfilea
0042988A   push    00426A38                          deletefileafindfirstfilea
0042989E   push    00426A44                          findfirstfilea
004298B2   push    00426A54                          findnextfilea
004298C6   push    00426A64                          getsystemdirectoryagetwindowsdirectorya
004298DA   push    00426A78                          getwindowsdirectorya
004298EE   push    00426A90                          readfile
00429902   push    00426A9C                          setunhandledexceptionfilterwritefile
00429916   push    00426AB8                          writefile
0042992A   push    00426AC4                          setfileattributesa
0042993E   push    00426AD8                          setfilepointer
00429952   push    00426AE8                          loadlibrarya
00429966   push    00426AF8                          advapi32.dll
00429974   push    00426B08                          createservicea
00429988   push    00426B18                          controlservice
0042999C   push    00426B28                          deleteservice
004299B0   push    00426B38                          startservicea
004299C4   push    00426B48                          openscmanagera
004299D8   push    00426B58                          openservicea
004299EC   push    00426B68                          closeservicehandle
00429A00   push    00426B7C                          queryservicestatus
00429A14   push    00426B90                          regclosekeyregcreatekeya
00429A28   push    00426B9C                          regcreatekeya
00429A3C   push    00426BAC                          regcreatekeyexaregdeletekeya
00429A50   push    00426BBC                          regdeletekeya
00429A64   push    00426BCC                          regdeletevaluearegenumkeyexa
00429A78   push    00426BDC                          regenumkeyexa
00429A8C   push    00426BEC                          regenumvaluea
00429AA0   push    00426BFC                          regopenkeyaregopenkeyexa
00429AB4   push    00426C08                          regopenkeyexa
00429AC8   push    00426C18                          regqueryvaluea
00429ADC   push    00426C28                          regqueryvalueexa
00429AF0   push    00426C3C                          regsetvalueexa
00429B04   push    00426C4C                          setservicestatus
00429B18   push    00426C60                          getservicekeynamea
00429B2C   push    00426C74                          sfc.dllsfcisfileprotected
00429B3C   push    00426C7C                          sfcisfileprotected
00429C24   push    ebp                               (initial cpu selection)
回复

举报

ledled
发表于 2009-3-2 17:30:14 | 显示全部楼层
VirusBuster found nothing
回复

举报

kingsheet
发表于 2009-3-2 18:03:07 | 显示全部楼层
卡巴不报
回复

举报

Palkia
发表于 2009-3-2 18:47:57 | 显示全部楼层
to rs
回复

举报

zdlzp
发表于 2009-3-2 18:52:17 | 显示全部楼层
程序:
C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\TEMP\RAR$EX01.598\1\1.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\%WINDOWS\5.EXE
2) C:\WINDOWS\SYSTEM32\NT6TO4.DLL
3) C:\PROGRAM FILES\%WINDOWS\CFDATA.DLL
是否删除木马程序及其衍生物?
回复

举报

黑衣~魂
发表于 2009-3-2 18:59:54 | 显示全部楼层
TO DW
回复

举报

尤金卡巴斯基
发表于 2009-3-2 22:43:50 | 显示全部楼层
2009/3/2 22:43:55        已清除        木马程序 Trojan.Win32.Agent.bszq        G:\Temp\Virus\1.rar/1\1.exe/5.exe
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-23 04:45 , Processed in 0.108489 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表