很水的样本,至今还有被过的\(^o^)/~

显示全部楼层 · 发表于 2009-6-29 11:52:12

鸽子？
McAfee 已自动阻止和删除特洛伊木马程序。

关于此特洛伊木马程序
已检测到: BackDoor-AWQ.b!dg (特洛伊木马程序), BackDoor-AWQ.b!dg (特洛伊木马程序)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe

2009-06-29 11:56:26 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\Deleteme.bat
2009-06-29 11:56:26 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
注册表路径:HKEY_CURRENT_USER\machine\SYSTEM\CurrentControlSet\Services\xehackcom_Service
注册表名称:ImagePath
2009-06-29 11:56:26 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
注册表路径:HKEY_CURRENT_USER\machine\SYSTEM\CurrentControlSet\Services\xehackcom_Service
注册表名称:ImagePath
2009-06-29 11:56:25 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\H_Server.exe
2009-06-29 11:56:25 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\H_Server.exe
2009-06-29 11:56:25 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\H_Server.exe
2009-06-29 11:56:25 应用程序保护(结束/挂起进程)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
2009-06-29 11:56:25 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
2009-06-29 11:56:25 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
2009-06-29 11:56:25 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
2009-06-29 11:56:25 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\桌面\新建文件夹\1马\1马.exe

[ 本帖最后由 schumi小粉于 2009-6-29 11:56 编辑 ]

显示全部楼层 · 发表于 2009-6-29 12:03:04

是灰鸽子....

显示全部楼层 · 发表于 2009-6-29 12:09:07

ZL

[ 本帖最后由 llzy3575 于 2009-6-29 12:19 编辑 ]

显示全部楼层 · 发表于 2009-6-29 12:14:04

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.29 -
AhnLab-V3 5.0.0.2 2009.06.29 -
AntiVir 7.9.0.199 2009.06.28 BDS/Hupigon.Gen
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.28 W32/D_Downloader!GSA
Avast 4.8.1335.0 2009.06.28 Win32:Trojan-gen {Other}
AVG 8.5.0.339 2009.06.28 -
BitDefender 7.2 2009.06.29 Trojan.Generic.1444790
CAT-QuickHeal 10.00 2009.06.26 Trojan.Agent.ATV
ClamAV 0.94.1 2009.06.29 -
Comodo 1480 2009.06.29 -
DrWeb 5.0.0.12182 2009.06.29 BackDoor.Pigeon.19150
eSafe 7.0.17.0 2009.06.28 Win32.BDSHupigon
eTrust-Vet 31.6.6582 2009.06.26 -
F-Prot 4.4.4.56 2009.06.28 W32/D_Downloader!GSA
F-Secure 8.0.14470.0 2009.06.29 Backdoor.Win32.Hupigon.hche
Fortinet 3.117.0.0 2009.06.29 PossibleThreat
GData 19 2009.06.29 Trojan.Generic.1444790
Ikarus T3.1.1.64.0 2009.06.29 Gen.Packer
Jiangmin 11.0.706 2009.06.28 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.29 Backdoor.Win32.Hupigon.hche
McAfee 5660 2009.06.28 BackDoor-AWQ.b!dg
McAfee+Artemis 5660 2009.06.28 BackDoor-AWQ.b!dg
McAfee-GW-Edition 6.7.6 2009.06.28 Trojan.Backdoor.Hupigon.Gen
Microsoft 1.4803 2009.06.28 Backdoor:Win32/Delf.FF
NOD32 4194 2009.06.28 -
Norman 6.01.09 2009.06.26 W32/DLoader.PIWL
nProtect 2009.1.8.0 2009.06.29 -
Panda 10.0.0.16 2009.06.28 -
PCTools 4.4.2.0 2009.06.28 -
Prevx 3.0 2009.06.29 Medium Risk Malware
Rising 21.36.00.00 2009.06.29 Backdoor.Win32.Gpigeon2007.czr
Sophos 4.43.0 2009.06.29 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.06.28 Trojan.1
Symantec 1.4.4.12 2009.06.29 Spyware.Netobserve
TheHacker 6.3.4.3.356 2009.06.27 -
TrendMicro 8.950.0.1094 2009.06.28 -
VBA32 3.12.10.7 2009.06.29 Backdoor.Win32.Hupigon.hche
ViRobot 2009.6.29.1809 2009.06.29 -
VirusBuster 4.6.5.0 2009.06.28 VirTool.Obfuscator.EXO
还是有东西被过的

显示全部楼层 · 发表于 2009-6-29 12:19:18

原帖由悠柚于 2009-6-29 12:14 发表
Antivirus       Version       Last Update       Result
a-squared       4.5.0.18       2009.06.29       -
AhnLab-V3       5.0.0.2       2009.06.29       -
AntiVir       7.9.0.199       2009.06.28       BDS/Hupigon.Gen
Antiy-AVL       2.0.3.1       2009.06.26       -
Authentium       5.1.2.4       ...

无语啊................

显示全部楼层 · 发表于 2009-6-29 12:19:58

panda 网络监控阻止下载，发现病毒 Trj/CI.A

显示全部楼层 · 发表于 2009-6-29 12:21:25

大家来看看Deleteme.bat里面的内容

:Repeat
del "C:\Documents and Settings\Administrator\桌面\1马\1马.exe"
if exist "C:\Documents and Settings\Administrator\桌面\1马\1马.exe" goto Repeat
del %0

复制代码

删除原样本，但是在windows目录下释放的H_Server.exe没有被删除，重启之后~~~~~~~~

显示全部楼层 · 发表于 2009-6-29 16:03:45

奇怪...norton2010居然没杀

显示全部楼层 · 发表于 2009-6-29 19:20:02

nod miss

[病毒样本] 很水的样本,至今还有被过的\(^o^)/~

本帖子中包含更多资源

本帖子中包含更多资源