帮忙分析一下这个文件，过红伞

显示全部楼层 · 发表于 2009-5-21 13:06:11

系统xp sp3 pro ，防毒软件  v9红伞 c + op pro
这个文件的路径是：c:\windows\system32\2008.exe
今天上午上网的时候，op突然弹出对话框，显示2008.exe企图加载驱动，再一看文件名和文件路径比较可疑，就阻止了
上午上传到多引擎上去，没反应，下午再试，有些杀软开始报了，结果如下：

VirSCAN.org Scanned Report :
Scanned time : 2009/05/21 16:08:58 (CST)
Scanner results: 29%的杀软(11/38)报告发现病毒
File Name    : 样本.rar
File Size    : 81975 byte
File Type    : RAR archive data, v1d, os
MD5          : 0e6179958703175a78b9461d56ae68b7
SHA1          : 3a2b2054b735618b98960f9f98770ab9424d3c26
Online report  : http://virscan.org/report/73976abd05948afc79c4bfe64d13f770.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    4.0.0.32       20090520014101 2009-05-20  2.38 Trojan.Win32.Redosdru!IK
安博士V3    2009.05.21.01 2009.05.21       2009-05-21  0.91 -
AntiVir       8.2.0.168    7.1.4.2          2009-05-20  0.37 -
安天          2.0.18       2.0.18.          0002-18-00  0.02 -
Arcavir       2009          200905201933    2009-05-20  0.05 -
Authentium    5.1.1          200905201821    2009-05-20  1.35 -
AVAST!       4.7.4          090520-0       2009-05-20  0.03 -
AVG          8.5.286       270.12.36/2125 2009-05-21  3.74 -
BitDefender 7.81008.3094960 7.25537          2009-05-21  2.97 -
CA (VET)    9.0.0.143    31.6.6513       2009-05-21  8.99 -
ClamAV       0.95          9376             2009-05-20  0.03 -
Comodo       3.9          1179             2009-05-21  1.07 -
CP Secure    1.1.0.715    2009.05.21       2009-05-21  10.40  -
Dr.Web       4.44.0.9170    2009.05.21       2009-05-21  5.14 -
F-Prot       4.4.4.56       20090520       2009-05-20  1.30 -
F-Secure    5.51.6100    2009.05.21.01    2009-05-21  3.63 Trojan.Win32.Agent.chgd [AVP]
飞塔          2.81-3.117    10.414          2009-05-20  0.45 -
GData       19.5307/19.337  20090521       2009-05-21  9.17 Trojan.Win32.Agent.chgd [Engine:A]
ViRobot       20090520       2009.05.20       2009-05-20  2.01 -
Ikarus       T3.1.01.49    2009.05.21.72747  2009-05-21  3.31 Trojan.Win32.Redosdru
江民杀毒    11.0.706       2009.05.21       2009-05-21  3.58 -
卡巴斯基    5.5.10       2009.05.21       2009-05-21  0.05 Trojan.Win32.Agent.chgd
金山毒霸    2009.2.5.15    2009.5.21.15    2009-05-21  0.48 Win32.Troj.Agent.188416
迈克菲       5.3.00       5621             2009-05-20  3.03 BackDoor-DVB
Microsoft    1.4701       2009.05.21       2009-05-21  5.25 Trojan:Win32/Redosdru.F
mks_vir       2.01          2009.05.20       2009-05-20  4.05 -
Norman       6.01.05       6.01.00          2009-05-20  4.01 -
熊猫卫士    9.05.01       2009.05.19       2009-05-19  1.94 -
趋势科技    8.700-1004    6.142.02       2009-05-20  0.04 -
Quick Heal    10.00          2009.05.21       2009-05-21  1.42 -
瑞星          20.0          21.30.20.00    2009-05-20  1.15 Backdoor.Win32.Drwolf.dvj
Sophos       2.86.0       4.41             2009-05-21  3.10 -
Sunbelt       5145          5145             2009-05-20  2.64 -
赛门铁克    1.3.0.24       20090520.003    2009-05-20  0.26 -
nProtect    20090521.01    3836799          2009-05-21  7.22 Trojan/W32.Agent.188416.BA
The Hacker    6.3.4.1       v00328          2009-05-20  0.61 -
VBA32       3.12.10.5    20090520.1547    2009-05-20  2.36 Trojan.Win32.Agent.ccvm
VirusBuster 4.5.11.10    10.105.33/1389174 2009-05-20  1.83 -

[ 本帖最后由 heroboy0923 于 2009-5-21 16:26 编辑 ]

显示全部楼层 · 发表于 2009-5-21 13:10:44

费尔 Trojan.Agent.chgd.ydzf

显示全部楼层 · 发表于 2009-5-21 13:27:51

原帖由 einnawy 于 2009-5-21 13:10 发表
费尔 Trojan.Agent.chgd.ydzf

木马？
这大概是个什么类型的玩意儿啊……
其他的杀软都miss了……

显示全部楼层 · 发表于 2009-5-21 14:00:40

我的ikarus报

trojan.win32.redosdru 建议删除保存

显示全部楼层 · 发表于 2009-5-21 16:26:48

红伞没反应……

显示全部楼层 · 发表于 2009-5-21 16:28:23

过大蜘蛛。

显示全部楼层 · 发表于 2009-5-21 17:14:55

卡巴
检测到：木马程序 Trojan.Win32.Agent.chgd URL: http://bbs.kafan.cn/attachment.p ... 242897002//2008.exe

显示全部楼层 · 发表于 2009-5-21 17:19:53

原帖由 wudewode 于 2009-5-21 16:28 发表
过大蜘蛛。

TO DW

显示全部楼层 · 发表于 2009-5-21 17:33:29

费尔报。。诺顿没报

显示全部楼层 · 发表于 2009-5-21 17:37:03

居然要安装驱动或服务

2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道 -> [文件]\device\namedpipe\lsarpc
2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道 -> [文件]\device\namedpipe\lsarpc
2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道 -> [文件]\device\namedpipe\lsarpc
2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]命名管道 -> [文件]\device\namedpipe\lsarpc
2009-5-21 17:36:07 加载动态链接库允许
进程: e:\virus\样本\2008.exe
目标: c:\windows\system32\samlib.dll
规则: [应用程序]*
2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\samr
规则: [文件组]命名管道 -> [文件]\device\namedpipe\samr
2009-5-21 17:36:07 修改文件阻止
进程: e:\virus\样本\2008.exe
目标: \Device\NamedPipe\samr
规则: [文件组]命名管道 -> [文件]\device\namedpipe\samr
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2009-5-21 17:36:07 安装驱动程序或服务阻止
进程: e:\virus\样本\2008.exe
目标: pwwfyex
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

[其他相关] 帮忙分析一下这个文件，过红伞

本帖子中包含更多资源

本帖子中包含更多资源