这是我的电脑中kav8发现的一个病毒，网上没这个资料。再发其配套lozoe.exe进程文件。

acstvip

之前就是我在进程列表里面发现一个lozoe.exe的进程，路径是
C:\Program Files\niscas\lozoe.exe，里面有lozoe.exe、nascas.exe以及一个子文件夹lucoef，子文件夹里面有lozoe.ini、pugocs.dll及puvose.dll，lozoe.exe我没发现有问题，用KAV8单独扫描nascas.exe以及上传到
VirusTotal - 免费在线病毒和恶意软件扫描
http://www.virustotal.com/zh-cn/
的时候提示有病毒。

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.24	2009.07.17	Win32.SuspectCrc!IK

Ikarus	T3.1.1.64.0	2009.07.17	Win32.SuspectCrc

Kaspersky	7.0.0.125	2009.07.17	Backdoor.Win32.Hupigon.hiuz

我进安全模式用kav8扫描了一次没发现问题了，另外在事件查看器里面看到有这样的提示，

事件类型:    信息
事件来源:    HHCTRL
事件种类:    无
事件 ID:    1904
日期:        2009-7-17
事件:        11:25:38
用户:        N/A
计算机:    SKYLINE
描述:
事件 ID ( 1904 )的描述(在资源( HHCTRL )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: about:blank, http://go.microsoft.com/fwlink?LinkID=45840.

搜索一下上面的消息是有可能中木马了，上传给大家分析一下。
因为是开机的时候就发现有一个lozoe.exe进程才觉得可疑，扫描这个lozoe.exe文件没报的，很奇怪。

[ 本帖最后由 acstvip 于 2009-7-17 15:44 编辑 ]

悠柚

费尔 miss，在线扫描也没发现

黑衣~魂

貌似backdoor機率高
上報吧

[ 本帖最后由 黑衣~魂 于 2009-7-17 15:00 编辑 ]

acstvip

已经上传到卡巴斯基中国了。
另外发到Norman SANDBOX分析，结果如下：

[ DetectionInfo ]
   * Filename: C:\analyzer\scan\nascas.exe.
   * Sandbox name: NO_MALWARE
   * Signature name: NO_VIRUS.
   * Compressed: NO.
   * TLS hooks: YES.
   * Executable type: Application.
   * Executable file structure: OK.
   * Filetype: PE_I386.

[ General information ]
   * File length:      1190400 bytes.
   * MD5 hash: b2792e193334591baa69eadcdee0d856.

[ Changes to registry ]
   * Accesses Registry key "HKCU\Software\Borland\Locales".
   * Accesses Registry key "HKLM\Software\Borland\Locales".
   * Accesses Registry key "HKCU\Software\Borland\Delphi\Locales".
   * Accesses Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes".

[ Process/window information ]
   * Creates an event called .
   * Creates a window with name "".
   * Creates a window with name "sample".
   * Attempts to open CLSID  {00000514-0000-0010-8000-00AA006D2EA4}.

kkgh

费尔 Trojan.Cap971521.vaym

悠柚

我也报了，处理速度好快

fengtaks

kav 7.0.1.325 报，阻止下载，允许下载后清除
检测到
------
状态        对象
----        ----
检测到：木马程序 Backdoor.Win32.Hupigon.hiuz        URL: http://bbs.kafan.cn/attachment.p ... 7815725//nascas.exe

木马清理大师、铁壳、Ar all miss，已整理上报~


[ 本帖最后由 fengtaks 于 2009-7-17 15:33 编辑 ]

z2665

nascas.rar\NASCAS.EXE        Artemis!B2792E193334 (特洛伊)

失落的手链

瑞星2010
查询编号：RS20090717151810671038
文件名称：nascas.rar
文件MD5：3F8074A084B4C52AAE8D07900B8A4036
文件状态：压缩文件，包含1个文件

文件名	MD5	状态	病毒名称	解决版本号
nascas.exe	B2792E193...	安全文件

c2091986

红伞，蜘蛛 MISS，已上报