缓存里面的一个exe。

显示全部楼层 · 发表于 2009-3-17 23:27:13

17/3/2009 23:26:55 已刪除: Trojan-GameThief.Win32.OnLineGames.bkzf C:\Documents and Settings\kato9096\桌面\g1[1].rar/g1[1].exe

显示全部楼层 · 发表于 2009-3-18 09:30:18

Name: Packed/Upack
Type: Sequence

Description:

Files:
c:\users\administrator\desktop\g1[1].exe

显示全部楼层 · 发表于 2009-3-18 09:30:40

When accessing data from the URL, "http://bbs.kafan.cn/attachment.php?aid=487472&k=97ad22ade9792b3b63b7953f5ca36b6e&t=1237339784"
a virus or unwanted program 'TR/Dropper.Gen' [trojan] was found.
Action taken: Blocked file

显示全部楼层 · 发表于 2009-3-18 09:42:33

卡巴检测到：木马程序 Trojan-GameThief.Win32.OnLineGames.bkzf URL: http://bbs.kafan.cn/attachment.p ... mp;t=1237340408//g1[1].exe//UPack

显示全部楼层 · 发表于 2009-3-18 14:21:13

2009-3-18 14:21:52 1237357312 Administrator 1520 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "d:\我的文档\桌面\g1[1].rar\g1[1].exe\[Upack]\[Embedded_Ra#16910]" file.

显示全部楼层 · 发表于 2009-3-18 14:36:39

原帖由 EQ2 于 2009-3-17 20:03 发表
KillAV和Agent双重性质的病毒

0000A7A8 0040A7A8    0 \svchost.exe
0000A7B8 0040A7B8    0 cmd /c sc config VSSERV start= disabled
0000A7E0 0040A7E0    0 cmd /c sc config scan start ...

果然是，

显示全部楼层 · 发表于 2009-3-18 15:46:25

原帖由 EQ2 于 2009-3-17 20:03 发表
KillAV和Agent双重性质的病毒

0000A7A8 0040A7A8    0 \svchost.exe
0000A7B8 0040A7B8    0 cmd /c sc config VSSERV start= disabled
0000A7E0 0040A7E0    0 cmd /c sc config scan start ...

怎么看?

显示全部楼层 · 发表于 2009-3-18 15:59:19

原帖由 sam.to 于 2009-3-18 15:46 发表

怎么看?

上面部分是释放的killdll.dll里的信息
下面部分是主程序的信息

用OD,IDA都可以看字符串。前提是无壳或已经脱壳。

显示全部楼层 · 发表于 2009-3-18 18:00:43

卡巴，NOD，瑞星，咖啡~~~~~
只针对这几个杀软的？

显示全部楼层 · 发表于 2009-3-18 19:37:37

filename: g1[1].exe
original path: C:\Downloads\g1[1]\
filesize: 39.05 KB
virusname: Win32.Warezov

[病毒样本] 缓存里面的一个exe。