收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这个还可以
12下一页
返回列表 发新帖
查看: 2573|回复: 13
收起左侧

[病毒样本] 这个还可以

[复制链接]
江湖的fans
发表于 2009-3-26 21:16:17 | 显示全部楼层 |阅读模式
质量还可以



动作比较多 瑞星恶意行为防御给灭了(关闭监控)


大家试试HIPS吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sebastian
发表于 2009-3-26 21:19:34 | 显示全部楼层
TR/Crypt.XPACK.Gen
回复

举报

The EQs
发表于 2009-3-26 21:19:58 | 显示全部楼层
Ultra String Reference Plugin
Address    Disassembly                               Text String
00401281   push    0040504C                          \
004015BB   push    00405020                          http://onlinenotifyq.net/?a=conf&code=%d
004015EB   push    00405050                          win32hlp.cnf
0040184B   push    00405050                          win32hlp.cnf
0040187A   push    0040510C                          reserve_url=
004018D0   push    00405100                          main_url=
00401926   push    004050F4                          randomly=
0040199D   push    004050E8                          replaces=
00401A0A   push    004050DC                          is_html=
00401A76   push    004050D0                          html_url=
00401AD3   push    004050C4                          html_id=
00401B44   push    004050AC                          html_replace_counter=
00401BB1   push    004050A0                          pop_url=
00401C03   push    00405094                          404_url=
00401C72   push    00405084                          replace_ref=
00401CE1   push    00405070                          html_to_replace=
00401D63   push    00405060                          exlude_urls=
00401F91   push    0040511C                          Config Mutex
004020B1   push    0040512C                          wget 3.0
004022F3   mov     edi, 00405140                     \r\n
00402306   push    00405140                          \r\n
00402319   mov     edi, 0040513C                     \r
0040232A   push    0040513C                          \r
0040233D   mov     edi, 00405138                     \n
0040234E   push    00405138                          \n
0040294B   push    00419F7C                          mousehook.dll
00402964   push    00419F70                          MouseProc
00402A2A   push    00419FB4                          Software
00402A57   push    00419F8C                          2a422c91-6984-47e4-94be-04c4fad5f8d8
00402A76   push    00419F8C                          2a422c91-6984-47e4-94be-04c4fad5f8d8
00402B8F   push    00419FD8                          COMSPECregsvr32.exe /s
00402BA5   mov     edi, 00419FD0                     /c del COMSPECregsvr32.exe /s
00402C11   mov     dword ptr [esp+20], 00419FC8      Open
00402C1B   mov     edi, 00419FC0                      > nul
00402D25   push    00419FF4                          ntdll64.dll -nru
00402D34   push    00419FE0                          regsvr32.exe /s
00402D93   push    00419F7C                          mousehook.dll
00402E77   push    0041A070                          sfc_os.dll
00402EE3   push    0041A054                          \userinit.exe
00402EF2   push    0041A024                          \dllcache\userinit.exe
00402F13   push    0041A00C                          \init32.exe
00402F8B   push    0041A000                           -nru
00402FB6   push    00419FB4                          Software
00402FD8   push    0041A088                          1099ce4a-ff51-4a8d-ab3c-c74b9c06e46f
00403017   push    00419FB4                          Software
0040303B   push    0041A088                          1099ce4a-ff51-4a8d-ab3c-c74b9c06e46f
0040309D   push    0041A0BC                          -nru
004030C4   push    0041A0B0                          \init32.exe-nru
00403184   push    ebp                               (Initial CPU selection)
回复

举报

SUZAKU
发表于 2009-3-26 21:22:23 | 显示全部楼层
卡巴斯基查杀结果:

Kill      1

2009-3-26 21:22:17        已删除: Trojan-Dropper.Win32.Agent.akbk        C:\Documents and Settings\Try\桌面\asd(1).rar/asd.exe               
回复

举报

黑衣~魂
发表于 2009-3-26 21:26:23 | 显示全部楼层
TO DW
回复

举报

yingshudai
发表于 2009-3-26 21:43:00 | 显示全部楼层
nis09又miss 为什么呢?...
回复

举报

Lazey
发表于 2009-3-26 21:52:39 | 显示全部楼层
木马名称:Trojan-Dropper.Win32.Agent.adhi

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\ASD.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
回复

举报

薇薇兔
发表于 2009-3-26 21:55:36 | 显示全部楼层
Virus: Trojan.Agent.AMJF (Engine A), Win32:Trojan-gen {Other} (Engine B)

Virus beim Laden von Web-Inhalten gefunden.

Adresse: bbs.kafan.cn
回复

举报

左手
发表于 2009-3-26 22:43:33 | 显示全部楼层
2009-03-26 22:43:00    创建文件      操作:阻止
进程路径:E:\virus\asd.exe
文件路径:C:\Documents and Settings\jc\Local Settings\Temp\ntdll64.dll
触发规则:应用程序规则->02-允许修改的程序->*.*->*\*.dll


2009-03-26 22:43:00    运行应用程序      操作:阻止
进程路径:E:\virus\asd.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/s C:\DOCUME~1\jc\LOCALS~1\Temp\ntdll64.dll
触发规则:所有程序规则->02-禁止运行的高危程序(黑名单)->%windir%\system32\*


2009-03-26 22:43:00    创建文件      操作:阻止
进程路径:E:\virus\asd.exe
文件路径:C:\Documents and Settings\jc\Local Settings\Temp\mousehook.dll
触发规则:应用程序规则->02-允许修改的程序->*.*->*\*.dll


2009-03-26 22:43:00    修改文件      操作:阻止并结束进程
进程路径:E:\virus\asd.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->02-允许修改的程序->*.*->*\*.exe


2009-03-26 22:43:00    修改文件      操作:阻止并结束进程
进程路径:E:\virus\asd.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->02-允许修改的程序->*.*->*\*.exe
回复

举报

kingmuro
头像被屏蔽
发表于 2009-3-26 22:54:46 | 显示全部楼层

BD 杀

文件或对象名称 病毒名称 最终处理状态
E:\My Documents\桌面\test\asd(1)\asd.exe Trojan.Agent.AMJF 已移动至隔离区
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 02:32 , Processed in 0.166717 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表