一个

显示全部楼层 · 发表于 2009-6-26 10:19:39

AVERT Labs - Beaverton
Current Scan Engine Version:5300.2777
Current DAT Version:5657.0000
Thank you for your submission.

Analysis ID: 5380190

File Name          Findings                      Detection                   Type       Extra
--------------------|------------------------------|----------------------------|------------|-----
rs.jpg             |inconclusive                |                         |          |no

显示全部楼层 · 发表于 2009-6-26 10:26:22

A版微点杀~

显示全部楼层 · 发表于 2009-6-26 10:38:31

将jpg后缀改为exe后运行
监视过程如下
写入的文件

创建更改的注册表

创建的进程，发现在后台调用ie

连接网络

附生成物，（不全，有几个文件找不到了，提取样本的技术太挫 = = #）

显示全部楼层 · 发表于 2009-6-26 10:39:54

Rising，KILL

显示全部楼层 · 发表于 2009-6-26 23:36:37

原帖由 冰比冰水冰 于 2009-6-26 10:38 发表

将jpg后缀改为exe后运行
监视过程如下
写入的文件
567284
创建更改的注册表
567285
创建的进程，发现在后台调用ie
567286
连接网络
567287
附生成物，（不全，有几个文件找不到了，提取样本的技术 ...

2009/6/26 23:34:12 已清除木马程序 Trojan-Downloader.Win32.Agent.cgmu G:\Temp\Virus\生成的可疑文件.rar/新建文件夹\cn2.exe
2009/6/26 23:34:12 已清除木马程序 Trojan-Downloader.Win32.Agent.cgmu G:\Temp\Virus\生成的可疑文件.rar/新建文件夹\game032.exe//PE_Patch//UPack
2009/6/26 23:34:12 已清除木马程序 Trojan-Downloader.Win32.Agent.cgmv G:\Temp\Virus\生成的可疑文件.rar/新建文件夹\svchos.exe

显示全部楼层 · 发表于 2009-6-27 00:44:27

2009-6-27 0:44:09 已拒绝: Trojan-Dropper.Win32.Agent.aupd 不存在

kis2010

显示全部楼层 · 发表于 2009-6-27 20:04:14

2009-6-27 19:55:58 创建文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO247.tmp\cn2.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 19:56:01 创建新进程允许
进程: f:\program files\7-zip\7zfm.exe
目标: c:\documents and settings\administrator\local settings\temp\7zo247.tmp\cn2.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7zO247.tmp\cn2.exe"
规则: [应用程序]*

2009-6-27 19:56:03 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo247.tmp\cn2.exe
目标: TCP [本机 : 2522] ->  [121.11.149.46 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:56:08 删除注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo247.tmp\cn2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\swg
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2009-6-27 19:56:10 删除注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo247.tmp\cn2.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jfproc
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2009-6-27 19:56:13 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo247.tmp\cn2.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UUSEE
值: C:\Program Files\Common Files\uusee\UUSeeMediaCenter.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2009-6-27 19:56:51 删除文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO247.tmp\cn2.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 19:57:45 创建文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO248.tmp\game032.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 19:57:48 创建新进程允许
进程: f:\program files\7-zip\7zfm.exe
目标: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7zO248.tmp\game032.exe"
规则: [应用程序]*

2009-6-27 19:57:51 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
目标: UDP [本机 : 2525] ->  [127.0.0.1 : 2525]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:57:57 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
目标: TCP [本机 : 2527] ->  [222.186.12.63 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:58:00 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
目标: TCP [本机 : 2528] ->  [125.89.79.181 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:58:01 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
目标: TCP [本机 : 2529] ->  [121.11.74.209 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:58:17 访问网络阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo248.tmp\game032.exe
目标: TCP [本机 : 2530] ->  [222.186.12.63 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-27 19:58:28 删除文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO248.tmp\game032.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 19:58:43 创建文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO24D.tmp\svchos.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 19:58:46 创建新进程允许
进程: f:\program files\7-zip\7zfm.exe
目标: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7zO24D.tmp\svchos.exe"
规则: [应用程序]*

2009-6-27 19:58:52 创建新进程阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\program files\internet explorer\iexplore.exe"  "http://union.go300.com/cn/install.asp?ver=090618&tgid=svchos&address=00-0A-EB-94-31-B5&regk=1&flag=7a8c08b09d7751321f3e5af7913c3562&frandom=0&alreg=0"
规则: [应用程序]*

2009-6-27 19:59:09 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: C:\WINDOWS\win.ini
规则: [文件组]系统关键文件 -> [文件]c:\windows; win.ini

2009-6-27 19:59:13 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: C:\WINDOWS\win.ini
规则: [文件组]系统关键文件 -> [文件]c:\windows; win.ini

2009-6-27 19:59:17 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2298.cn/
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2009-6-27 19:59:20 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2298.cn/
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2009-6-27 19:59:21 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\7zo24d.tmp\svchos.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\mllskd
值: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7zO24D.tmp\svchos.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\*

2009-6-27 20:01:40 删除文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO24D.tmp\svchos.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 20:01:49 创建文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO24E.tmp\usrinit_t.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2009-6-27 20:02:01 删除文件允许
进程: f:\program files\7-zip\7zfm.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7zO24E.tmp\usrinit_t.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

[病毒样本] 一个

mcafee8.7

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

生成的可疑文件.rar (