1个感觉很牛的病毒

显示全部楼层 · 发表于 2009-4-2 23:54:24

文件 U.rar 接收于 2009.04.02 14:54:05 (CET)
结果: 19/40 (47.5%)
反病毒引擎版本最后更新扫描结果
a-squared 4.0.0.101 2009.04.02 Rootkit.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.04.02 -
AntiVir 7.9.0.129 2009.04.02 -
Antiy-AVL 2.0.3.1 2009.04.02 -
Authentium 5.1.2.4 2009.04.01 W32/Rootkit-PX!Eldorado
Avast 4.8.1335.0 2009.04.02 Win32:Rootkit-gen
AVG 8.5.0.285 2009.04.02 PSW.OnlineGames_r.CN
BitDefender 7.2 2009.04.02 -
CAT-QuickHeal 10.00 2009.04.01 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.04.02 PUA.Packed.NPack-3
Comodo 1093 2009.04.01 -
DrWeb 4.44.0.09170 2009.04.02 -
eSafe 7.0.17.0 2009.04.02 Suspicious File
eTrust-Vet 31.6.6430 2009.04.02 -
F-Prot 4.4.4.56 2009.04.01 W32/Rootkit-PX!Eldorado
F-Secure 8.0.14470.0 2009.04.02 W32/Packed_NSPack.B
Fortinet 3.117.0.0 2009.04.02 -
GData 19 2009.04.02 Win32:Rootkit-gen
Ikarus T3.1.1.49.0 2009.04.02 Rootkit.Win32.Small
K7AntiVirus 7.10.690 2009.04.01 -
Kaspersky 7.0.0.125 2009.04.02 -
McAfee 5571 2009.04.01 -
McAfee+Artemis 5571 2009.04.01 -
McAfee-GW-Edition 6.7.6 2009.04.01 -
Microsoft 1.4502 2009.04.02 Worm:Win32/SillyShareCopy.gen
NOD32 3983 2009.04.02 probably a variant of Win32/Genetik
Norman 6.00.06 2009.04.01 W32/Packed_NSPack.B
nProtect 2009.1.8.0 2009.04.02 -
Panda 10.0.0.14 2009.04.02 -
PCTools 4.4.2.0 2009.04.02 -
Prevx1 V2 2009.04.02 High Risk Cloaked Malware
Rising 21.23.32.00 2009.04.02 -
Sophos 4.40.0 2009.04.02 Mal/Behav-156
Sunbelt 3.2.1858.2 2009.04.02 Worm.Win32.AutoRun.fee
Symantec 1.4.4.12 2009.04.02 Trojan Horse
TheHacker 6.3.4.0.298 2009.04.01 -
TrendMicro 8.700.0.1004 2009.04.02 -
VBA32 3.12.10.2 2009.04.02 suspected of Win32.Trojan.Downloader (http://...)
ViRobot 2009.4.2.1673 2009.04.02 -
VirusBuster 4.6.5.0 2009.04.01 -
附加信息
File size: 34258 bytes
MD5...: d7ad3fba00eb589a94576080f623f24e
SHA1..: dd978e99b232e9bd5c6233021e4365b1c4907a39
SHA256: 15f8f6695fa40571943a30d4f7914052537cb610c5d02487c1d2473318831716
SHA512: 9a4881aa3a12f8a6ccb93ca68a4ade726b1c2cf3f4214172768197177d6d1d3a
4cbf4bce6f282d1dd6ba232316abac87e2247c84cfd131219773b8b1d78ed22e
ssdeep: 768:/V2/Frhj9XvPpCPYmMrGspB2yO2Ik4wFrQ+Ngawrhnv+HntgGVcgq:/V2/fV
3EvMrGCBak4Us+NgawnvgntgGe
PEiD..: -
TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)
PEInfo: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=6A8DDED5C8A626B4A2CE00947C754100FDEAEC0A' target='_blank'>http://info.prevx.com/aboutprogr ... 7C754100FDEAEC0A<;/a>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Avast): UPX
packers (Authentium): UPX

我是弄不过它

好不容易抓了个样本

还有，这个文件的属性很有意思，很像瑞星的文件

连数字签名都有

[ 本帖最后由 ashe_vaan 于 2009-4-2 23:56 编辑 ]

显示全部楼层 · 发表于 2009-4-3 00:27:29

2009-04-03 00:27:14 修改文件    操作:阻止
进程路径:E:\U\U.exe
文件路径:(隐藏文件>E:\U\U.exe
触发规则:所有程序规则->全局设置->E:\*.exe
2009-04-03 00:27:14 修改注册表内容    操作:阻止
进程路径:E:\U\U.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
更改后:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\irsetup.exe
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager
2009-04-03 00:27:14 运行应用程序    操作:阻止
进程路径:E:\U\U.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc delete ekrn
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-04-03 00:27:14 运行应用程序    操作:阻止
进程路径:E:\U\U.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc delete avp
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-04-03 00:27:14 运行应用程序    操作:阻止
进程路径:E:\U\U.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ekrn.exe /f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-04-03 00:27:24 创建文件    操作:阻止
进程路径:E:\U\U.exe
文件路径:C:\dcc.dll
触发规则:所有程序规则->全局设置->%SystemDrive%\*
2009-04-03 00:27:41 创建文件    操作:阻止并结束进程
进程路径:E:\U\U.exe
文件路径:C:\WINDOWS\system32\dllcache\linkinfo.dll
触发规则:所有程序规则->WINDOWS_2->%windir%\system*\*.dll
2009-04-03 00:27:41 创建文件    操作:阻止并结束进程
进程路径:E:\U\U.exe
文件路径:C:\WINDOWS\system32\dllcache\linkinfo.dll
触发规则:所有程序规则->WINDOWS_2->%windir%\system*\*.dll

显示全部楼层 · 发表于 2009-4-3 00:32:59

费尔查杀。

显示全部楼层 · 发表于 2009-4-3 00:35:20

To KL

显示全部楼层 · 发表于 2009-4-3 00:42:32

运行红伞杀，微点杀
'TR/Crypt.XDR.Gen [trojan]'

显示全部楼层 · 发表于 2009-4-3 00:47:58

DW
D:\Documents and Settings\Administrator\桌面\U.exe - probably infected with MULDROP.Trojan
D:\Documents and Settings\Administrator\桌面\U.exe\data001 - infected with Trojan.KillProc.1565
D:\Documents and Settings\Administrator\桌面\U.exe\data002 - infected with Trojan.KillProc.1565
D:\Documents and Settings\Administrator\桌面\U.exe\data003 - infected with Trojan.MulDrop.origin

显示全部楼层 · 发表于 2009-4-3 07:37:59

Worm.Win32.DownLoad.oq 删除染毒文件成功 2009-04-03 07:36:48 手动查杀 C:\Documents and Settings\Administrator\桌面 U.rar>>U.exe>>upx_c 瑞星

显示全部楼层 · 发表于 2009-4-3 07:53:05

KILL BY RISING2009

显示全部楼层 · 发表于 2009-4-3 10:13:01

forti miss

显示全部楼层 · 发表于 2009-4-3 10:28:06

双击了几十次，系统正常运行。。

[病毒样本] 1个感觉很牛的病毒

本帖子中包含更多资源

本帖子中包含更多资源