Win32.HLLW.Wace病毒

凝逸反毒

凝逸反毒.修复Win32.HLLW.WaceE感染1.0

病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM



密:nyav


感染WinRAR.exe
========PE格式分析==========
文件头分析【PE Headers】
      文件格式                 ：unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    ：512
      文件运行所要求的CPU      ：Intel 80386 处理器或更高
      节数目                   ：8
      文件创建的时间           ：2007年9月20日12时34分22秒
      OptionalHeader 结构大小  ：E0
      文件信息的标记           ：10F
      标志字                   ：10B
      连接器版本号             ：5.0
      代码段长度               ：A3000
      已初始化数据块大小       ：42400
      未初始化数据块大小       ：0
    ★程序入口  [EntryCodeData]：001309B6
      代码段起始   [BaseOfCode]：00001000
      数据库段起始 [BaseOfData]：000A4000
    ★优先装载地址  [ImageBase]：00400000
      内存中节对齐粒度         ：1000
      文件中节对齐粒度         ：200
      系统所需版本号           ：4.0
      自定义版本号             ：0.0
      子系统所需版本号         ：4.0
      内存中PE映像体的尺寸     ：130BDE
      所有头+节表的大小        ：600
      校验和                   ：0
      文件系统                 ：IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  ：0
      保留栈的大小             ：100000
      初始时指定栈大小         ：2000
      保留堆的大小             ：100000
      指定堆大小               ：1000
      加载器标志               ：0
      Rva数和大小              ：10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  000A3000  00000600  000A2200  60000020
  2    .data  000A4000  0004C000  000A2800  0000E000  C0000040
  3     .tls  000F0000  00001000  000B0800  00000200  C0000040
  4   .rdata  000F1000  00001000  000B0A00  00000200  50000040
  5   .idata  000F2000  00003000  000B0C00  00002A00  40000040
  6   .edata  000F5000  00001000  000B3600  00000200  40000040
  7    .rsrc  000F6000  00032000  000B3800  00031400  40000040
  8     .MMM  00128000  00008BDE  000E4C00  00008BDE  E00000E0

saga3721

'W32/Cekar.B [virus]'

[ 本帖最后由 saga3721 于 2009-4-5 11:47 编辑 ]

花间酒

2009-04-05 11:50:08    运行应用程序      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\桌面\virus\Win32.HLLW.Wace(nyav)\Win32.HLLW.Wace感染.exe
文件路径:C:\Documents and Settings\Administrator\桌面\virus\Win32.HLLW.Wace(nyav)\MMM.MMM
命令行:      
触发规则:高优先规则->识别特殊目录（借用沙盘颜色）->*\*virus*\*


2009-04-05 11:50:09    创建文件      操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\桌面\virus\Win32.HLLW.Wace(nyav)\MMM.MMM
文件路径:C:\Program Files\Common Files\System\QQeoqs.exe
触发规则:应用程序规则->全局 ,1)系統程序,軟件實机文件操作->*\*->%ProgramFiles%\*


2009-04-05 11:50:09    创建文件      操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\桌面\virus\Win32.HLLW.Wace(nyav)\MMM.MMM
文件路径:C:\Program Files\Common Files\System\QQeoqs.exe
触发规则:应用程序规则->全局 ,1)系統程序,軟件實机文件操作->*\*->%ProgramFiles%\*



另红伞杀，

Palkia

病毒        2009-04-05  11:53:39        C:\Documents and Settings\Administrator\桌面\Win32.HLLW.Wace感染.exe        Win32.LwyLoadT.h.28802        跳过，未处理

Palkia

to kl

路由问题

可恶的病毒越来越厉害了.大家平时要养成良好的上网习惯呀.

wrq

红伞飘飘然

Palkia

Hello,


Win32.HLLW.Wace??.exe

No malicious code was found in this file.

ledled

Name: Win32.Drowor.Gen
Type: Virus

Description:


Files:
c:\users\administrator\desktop\win32.hllw.wace感染.exe

Dan_te

费尔日志(最新病毒库)：

Trojan.OnLineGames.gen.a,木马,Win32[1].HLLW.Wace感染(nyav)\Win32.HLLW.Wace感染.exe>>emb-1.exe