小伞挂了,找来样本2个

显示全部楼层 · 发表于 2009-3-8 08:47:53

DU有外连,难道过微点了?

显示全部楼层 · 发表于 2009-3-8 09:10:58

断网时防火墙也可能显示外联，但是要主机真的在联网状态微点才会杀到所有能杀的

显示全部楼层 · 发表于 2009-3-8 09:18:06

panda du.rar miss

显示全部楼层 · 发表于 2009-3-8 09:55:52

rs miss 3

显示全部楼层 · 发表于 2009-3-8 10:02:36

Name: Trojan.Runner.Gen.2
Type: Mutant

Description:

Files:
c:\users\administrator\desktop\du\xiazai[1].exe

Name: Starter
Type: Trojan

Description:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.

Files:
c:\users\administrator\desktop\cf757.x

显示全部楼层 · 发表于 2009-3-8 10:31:40

antivir漏的那一个是个单纯的下载者。

附上他的表。

[file]
open=y
url1=http://www.qvodmuise.cn/1.exe
url2=http://www.qvodmuise.cn/2.exe
url3=http://www.qvodmuise.cn/3.exe
url4=http://www.qvodmuise.cn/4.exe
url5=http://www.qvodmuise.cn/5.exe
url6=http://www.qvodmuise.cn/6.exe
url7=http://www.qvodmuise.cn/7.exe
url8=http://www.qvodmuise.cn/8.exe
url9=http://www.qvodmuise.cn/9.exe
url10=http://www.qvodmuise.cn/10.exe
url11=http://www.qvodmuise.cn/11.exe
url12=http://www.qvodmuise.cn/12.exe
url13=http://www.qvodmuise.cn/13.exe
url14=http://www.qvodmuise.cn/14.exe
url15=http://www.qvodmuise.cn/15.exe
url16=http://www.qvodmuise.cn/16.exe
url17=http://www.qvodmuise.cn/17.exe
url18=http://www.qvodmuise.cn/18.exe
url19=http://www.qvodmuise.cn/19.exe
url20=http://www.qvodmuise.cn/20.exe
url21=http://www.qvodmuise.cn/21.exe
url22=http://www.qvodmuise.cn/22.exe
url23=http://www.qvodmuise.cn/23.exe
url24=http://www.qvodmuise.cn/24.exe
url25=http://www.qvodmuise.cn/25.exe
url26=http://www.qvodmuise.cn/26.exe
url27=http://www.qvodmuise.cn/27.exe
url28=http://www.qvodmuise.cn/28.exe
url29=http://www.qvodmuise.cn/29.exe
url30=http://www.qvodmuise.cn/30.exe
url31=http://www.qvodmuise.cn/31.exe
url32=http://www.qvodmuise.cn/32.exe
url33=http://www.qvodmuise.cn/33.exe
url34=http://www.qvodmuise.cn/34.exe
url35=http://www.qvodmuise.cn/35.exe
count=35

显示全部楼层 · 发表于 2009-3-8 10:39:44

dr.web
cf757.x - infected with Trojan.Starter.725
xiazai[1].exe - infected with Trojan.DownLoad.27002
miss 兩個js-to

显示全部楼层 · 发表于 2009-3-8 11:17:10

这是在线沙盘的分析，我用金山词霸翻译成中文

[ General information ]
   * 文件长度:       28584 bytes.
   * MD5哈希: a5cdd042be4c8f484ae04f169e8f7c73.

[ Changes to filesystem ]
   * 删除文件 C:\WINDOWS\TEMP\55381383.
   * 创建文件 file C:\WINDOWS\TEMP\034D69B0.x.
   * 创建文件 file C:\WINDOWS\SYSTEM32\kn.txt.
   * 删除文件 C:\WINDOWS\TEMP\034D69B0.x.

[ Network services ]
   * 下载文件 http://www.fgthrtrter.cn/down.txt 到 C:\WINDOWS\SYSTEM32\kn.txt.
   * 连接到 "www.fgthrtrter.cn" 端口 80 (TCP).
   * 打开网址: www.fgthrtrter.cn/down.txt.
   * 下载文件 C:\WINDOWS\SYSTEM32\drivers\etc\hosts.
   * 连接到 ""  端口 80 (TCP).
   * 打开网址: ?x=67-03-81-7C-FC-0F&y=a2&t=1004712.
   * 连接到"?x=67-03-81-7C-FC-0F&y=a2&t=1004712" on port 80 (TCP).
   * 打开网址: ?x=67-03-81-7C-FC-0F&y=a2&t=1004712/?x=67-03-81-7C-FC-0F&y=a2&t=1004712.

[传播感染文件]

*档案型;修改现有的可执行文件。

[进程/窗口信息]
*列举正在运行的进程。
*创建一个互斥iiopoip 。
*检查一下特权“ SeDebugPrivilege ”可用。
*启用特权SeDebugPrivilege 。
*尝试访问服务“ Kisstusb ” 。
[ Signature Scanning ]
   * C:\WINDOWS\TEMP\034D69B0.x (2560 bytes) : 没有签名
   * C:\WINDOWS\SYSTEM32\kn.txt (4096 bytes) : 没有签名

显示全部楼层 · 发表于 2009-3-8 11:18:14

打开http://www.fgthrtrter.cn/down.txt

[file]
open=y
url1=http://www.qvodmuise.cn/1.exe
url2=http://www.qvodmuise.cn/2.exe
url3=http://www.qvodmuise.cn/3.exe
url4=http://www.qvodmuise.cn/4.exe
url5=http://www.qvodmuise.cn/5.exe
url6=http://www.qvodmuise.cn/6.exe
url7=http://www.qvodmuise.cn/7.exe
url8=http://www.qvodmuise.cn/8.exe
url9=http://www.qvodmuise.cn/9.exe
url10=http://www.qvodmuise.cn/10.exe
url11=http://www.qvodmuise.cn/11.exe
url12=http://www.qvodmuise.cn/12.exe
url13=http://www.qvodmuise.cn/13.exe
url14=http://www.qvodmuise.cn/14.exe
url15=http://www.qvodmuise.cn/15.exe
url16=http://www.qvodmuise.cn/16.exe
url17=http://www.qvodmuise.cn/17.exe
url18=http://www.qvodmuise.cn/18.exe
url19=http://www.qvodmuise.cn/19.exe
url20=http://www.qvodmuise.cn/20.exe
url21=http://www.qvodmuise.cn/21.exe
url22=http://www.qvodmuise.cn/22.exe
url23=http://www.qvodmuise.cn/23.exe
url24=http://www.qvodmuise.cn/24.exe
url25=http://www.qvodmuise.cn/25.exe
url26=http://www.qvodmuise.cn/26.exe
url27=http://www.qvodmuise.cn/27.exe
url28=http://www.qvodmuise.cn/28.exe
url29=http://www.qvodmuise.cn/29.exe
url30=http://www.qvodmuise.cn/30.exe
url31=http://www.qvodmuise.cn/31.exe
url32=http://www.qvodmuise.cn/32.exe
url33=http://www.qvodmuise.cn/33.exe
url34=http://www.qvodmuise.cn/34.exe
url35=http://www.qvodmuise.cn/35.exe
count=35

显示全部楼层 · 发表于 2009-3-8 11:19:03

打开http://www.fgthrtrter.cn/down.txt

[file]
open=y
url1=http://www.qvodmuise.cn/1.exe
url2=http://www.qvodmuise.cn/2.exe
url3=http://www.qvodmuise.cn/3.exe
url4=http://www.qvodmuise.cn/4.exe
url5=http://www.qvodmuise.cn/5.exe
url6=http://www.qvodmuise.cn/6.exe
url7=http://www.qvodmuise.cn/7.exe
url8=http://www.qvodmuise.cn/8.exe
url9=http://www.qvodmuise.cn/9.exe
url10=http://www.qvodmuise.cn/10.exe
url11=http://www.qvodmuise.cn/11.exe
url12=http://www.qvodmuise.cn/12.exe
url13=http://www.qvodmuise.cn/13.exe
url14=http://www.qvodmuise.cn/14.exe
url15=http://www.qvodmuise.cn/15.exe
url16=http://www.qvodmuise.cn/16.exe
url17=http://www.qvodmuise.cn/17.exe
url18=http://www.qvodmuise.cn/18.exe
url19=http://www.qvodmuise.cn/19.exe
url20=http://www.qvodmuise.cn/20.exe
url21=http://www.qvodmuise.cn/21.exe
url22=http://www.qvodmuise.cn/22.exe
url23=http://www.qvodmuise.cn/23.exe
url24=http://www.qvodmuise.cn/24.exe
url25=http://www.qvodmuise.cn/25.exe
url26=http://www.qvodmuise.cn/26.exe
url27=http://www.qvodmuise.cn/27.exe
url28=http://www.qvodmuise.cn/28.exe
url29=http://www.qvodmuise.cn/29.exe
url30=http://www.qvodmuise.cn/30.exe
url31=http://www.qvodmuise.cn/31.exe
url32=http://www.qvodmuise.cn/32.exe
url33=http://www.qvodmuise.cn/33.exe
url34=http://www.qvodmuise.cn/34.exe
url35=http://www.qvodmuise.cn/35.exe
count=35

[病毒样本] 小伞挂了,找来样本2个