解得的网马--- 结果: 9/41 (21.96%)

显示全部楼层 · 发表于 2009-6-28 21:33:14

密：virus

文件 webcam.exe 接收于 2009.06.28 13:11:14 (UTC)
当前状态: 正在读取 ... 队列中等待中扫描中完成未发现停止

            结果: 9/41 (21.96%)

                                             正在读取服务器信息中...
                                    您的文件所排队列位置: ___.
                     预计开始时间为 ___ 和 ___
之间.
                     扫描完成前请勿关闭窗口.
                                    目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
                     如果您的等候时间超过 5 分钟, 请重新发送文件.
                                    您的文件目前正在被 VirusTotal 扫描中,
                     结果将会稍后完成时生成.

格式化文本
打印结果

                                    您的文件已过期或不存在.
                                    目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
).
                     您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.

Email:

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.18	2009.06.28	-
AhnLab-V3	5.0.0.2	2009.06.27	-
AntiVir	7.9.0.199	2009.06.26	BDS/Flood.IRC.2
Antiy-AVL	2.0.3.1	2009.06.26	-
Authentium	5.1.2.4	2009.06.27	-
Avast	4.8.1335.0	2009.06.28	Win32:Flooder-BA
AVG	8.5.0.339	2009.06.27	-
BitDefender	7.2	2009.06.28	Dropped:Trojan.Banker.N
CAT-QuickHeal	10.00	2009.06.26	-
ClamAV	0.94.1	2009.06.28	Trojan.Flood.I
Comodo	1470	2009.06.28	-
DrWeb	5.0.0.12182	2009.06.28	-
eSafe	7.0.17.0	2009.06.28	Suspicious File
eTrust-Vet	31.6.6582	2009.06.26	-
F-Prot	4.4.4.56	2009.06.27	-
F-Secure	8.0.14470.0	2009.06.27	Backdoor.IRC.Kelebek.ak
Fortinet	3.117.0.0	2009.06.28	-
GData	19	2009.06.28	Dropped:Trojan.Banker.N
Ikarus	T3.1.1.64.0	2009.06.28	Trojan.Banker.N
Jiangmin	11.0.706	2009.06.28	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.28	not-a-virus:Client-IRC.Win32.mIRC.616
McAfee	5659	2009.06.27	-
McAfee+Artemis	5659	2009.06.27	-
McAfee-GW-Edition	6.7.6	2009.06.27	-
Microsoft	1.4803	2009.06.28	-
NOD32	4194	2009.06.28	-
Norman	6.01.09	2009.06.26	-
nProtect	2009.1.8.0	2009.06.28	-
Panda	10.0.0.16	2009.06.28	-
PCTools	4.4.2.0	2009.06.28	-
Prevx	3.0	2009.06.28	-
Rising	21.35.62.00	2009.06.28	-
Sophos	4.43.0	2009.06.28	-
Sunbelt	3.2.1858.2	2009.06.27	-
Symantec	1.4.4.12	2009.06.28	-
TheHacker	6.3.4.3.356	2009.06.27	-
TrendMicro	8.950.0.1094	2009.06.28	-
VBA32	3.12.10.7	2009.06.28	-
ViRobot	2009.6.27.1808	2009.06.27	-
VirusBuster	4.6.5.0	2009.06.27	-

附加信息

显示全部楼层 · 发表于 2009-6-28 21:39:35

2009-06-28 21:38:27 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\webcam\webcam.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\ci.exe
2009-06-28 21:38:27 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\webcam\webcam.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\ci.exe
2009-06-28 21:38:26 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\桌面\新建文件夹\webcam\webcam.exe

运行后咖啡报毒
McAfee 已自动阻止和删除特洛伊木马程序。
关于此特洛伊木马程序
已检测到: Generic.ce (特洛伊木马程序), Generic.ce (特洛伊木马程序)
位置: C:\Sandbox\Administrator\DefaultBox\user\current\Local Settings\Temp\gert0.dll

显示全部楼层 · 发表于 2009-6-28 23:56:08

2009/6/28 23:53:46 已删除木马程序 Backdoor.IRC.Kelebek.ak G:\Temp\Virus\webcam\webcam.exe/ci.exe//mIRC.ini
2009/6/28 23:53:46 已删除风险软件 not-a-virus:Client-IRC.Win32.mIRC.616 G:\Temp\Virus\webcam\webcam.exe/ci.exe//ads.exe

显示全部楼层 · 发表于 2009-6-29 00:23:56

TO MP

显示全部楼层 · 发表于 2009-6-29 01:23:12

日期和时间：  2009-6-29 1:22:56
文件名：  webcam.exe
原始路径：  c:\Documents and Settings\Administrator\桌面\
文件大小：  957.25 KB
病毒名称：  Trojan.Banker.N
建议：  删除
特征编号：  817757

显示全部楼层 · 发表于 2009-6-29 04:16:56

楼主，不设密码会死啊？这不是脱裤子放那啥吗？

显示全部楼层 · 发表于 2009-6-29 12:20:09

TF+微点

显示全部楼层 · 发表于 2009-6-29 12:22:40

原帖由 nosferatu 于 2009-6-29 04:16 发表
楼主，不设密码会死啊？这不是脱裤子放那啥吗？

不要误解,经常上报样本的话都会设置密码方便操作

显示全部楼层 · 发表于 2009-6-29 12:23:29

原帖由 nosferatu 于 2009-6-29 04:16 发表
楼主，不设密码会死啊？这不是脱裤子放那啥吗？

看见你的言行我智商上的优越感油然而生........
如果是多个样本，那么不设密码的话，只要杀软发现其中一个样本就会阻止下载或者破坏压缩包，造成无法试验其他样本，谢谢

显示全部楼层 · 发表于 2009-6-29 12:27:45

2009-6-29 12:41:19 创建文件允许
进程: c:\windows\ci.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\gert0.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2009-6-29 12:41:22 创建文件允许
进程: c:\windows\ci.exe
目标: C:\WINDOWS\system\ads.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2009-6-29 12:41:24 创建文件允许
进程: c:\windows\ci.exe
目标: C:\WINDOWS\system\Chans.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2009-6-29 12:41:26 创建文件允许
进程: c:\windows\ci.exe
目标: C:\WINDOWS\system\server.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2009-6-29 12:41:26 创建文件允许
进程: c:\windows\ci.exe
目标: C:\WINDOWS\system\Sfwwin32.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2009-6-29 12:41:27 创建文件允许
进程: c:\windows\ci.exe
目标: C:\WINDOWS\system\sysingB32.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2009-6-29 12:41:29 修改注册表值允许
进程: c:\windows\ci.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSmsFi
值: ads.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2009-6-29 12:41:30 创建新进程允许
进程: c:\windows\ci.exe
目标: c:\windows\system\ads.exe
命令行: "C:\WINDOWS\system\ads.exe"
规则: [应用程序]*

2009-6-29 12:41:35 删除文件允许
进程: c:\windows\ci.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\gert0.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2009-6-29 12:41:37 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\msagent\agentsvr.exe
命令行: C:\WINDOWS\msagent\AgentSvr.exe -Embedding
规则: [应用程序]*

2009-6-29 12:41:39 向其他进程发送消息允许
进程: c:\windows\msagent\agentsvr.exe
目标: c:\windows\system\ads.exe
消息: WM_COMMAND
规则: [应用程序]*

2009-6-29 12:41:41 创建新进程允许
进程: c:\windows\system\ads.exe
目标: c:\windows\regedit.exe
命令行: "C:\WINDOWS\regedit.exe" /s 1206.reg
规则: [应用程序]*

2009-6-29 12:41:43 创建新进程允许
进程: c:\windows\system\ads.exe
目标: c:\windows\regedit.exe
命令行: "C:\WINDOWS\regedit.exe" /s 1339.reg
规则: [应用程序]*

2009-6-29 12:41:44 修改注册表值允许
进程: c:\windows\regedit.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSmsFi
值: ads.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2009-6-29 12:41:45 修改文件允许
进程: c:\windows\system\ads.exe
目标: C:\WINDOWS\system\sysingB32.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2009-6-29 12:41:45 修改注册表值允许
进程: c:\windows\regedit.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSmsFi
值: ads.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2009-6-29 12:41:53 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system\ads.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe

2009-6-29 12:41:54 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\firewall.cpl,ShowNotificationDialog /configure "C:\WINDOWS\system\ads.exe"
规则: [应用程序]*

2009-6-29 12:41:59 访问网络允许
进程: c:\windows\system\ads.exe
目标: TCP [本机 : 1106] ->  [72.8.129.157 : 2222]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-29 12:42:25 访问网络允许
进程: c:\windows\system\ads.exe
目标: TCP [本机 : 1108] ->  [72.8.129.157 : 2222]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2009-6-29 12:42:52 访问网络允许
进程: c:\windows\system\ads.exe
目标: TCP [本机 : 1109 (kpop)] ->  [72.8.129.157 : 2222]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

[ 本帖最后由 llzy3575 于 2009-6-29 12:44 编辑 ]

[病毒样本] 解得的网马--- 结果: 9/41 (21.96%)

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块