KAVO U盤病毒變種 20090728

显示全部楼层 · 发表于 2009-7-28 20:21:13

uret463(cc) - nvrfc.bat
uret463(at) - ig.bat 內部變種
xvassdf(uu) - toe.cmd
xvassdf(uu3) - 2pm8.bat 內部變種
olhrwef - eej2.exe
附 hook dll rising 變種...

注:內部變種為變種測試時檔名未改檔案大小卻跟原先測試樣本不同

因 Kafan 系統過於忙碌
已將樣本上傳至 Google Site
http://sites.google.com/site/krichard2009/Home/Virus.rar

[ 本帖最后由 krichard2007 于 2009-7-28 20:34 编辑 ]

显示全部楼层 · 发表于 2009-7-28 20:23:27

样本？

显示全部楼层 · 发表于 2009-7-28 20:26:48

不好意思剛剛發帖時發生錯誤
樣本正在補上
不知道會不會是系統過於繁忙

可能需要等一下...

显示全部楼层 · 发表于 2009-7-28 20:28:44

没关系，key军过于强大

，慢慢来上传吧

显示全部楼层 · 发表于 2009-7-28 20:39:10

费尔KILL 3
MISS 3
TO费尔

显示全部楼层 · 发表于 2009-7-28 20:47:44

all miss to iobit

显示全部楼层 · 发表于 2009-7-28 20:59:56

瑞星2010

显示全部楼层 · 发表于 2009-7-28 21:15:00

DR.WEB
2pm8.bat;C:\Documents and Settings\all\桌面;Probably Trojan.Packed.191;;
a.exe;C:\Documents and Settings\all\桌面;Probably Trojan.Packed.191;;
eej2.exe;C:\Documents and Settings\all\桌面;Probably Trojan.Packed.191;;
ig.bat;C:\Documents and Settings\all\桌面;Probably Trojan.Packed.191;;
nvrfc.bat;C:\Documents and Settings\all\桌面;Probably Trojan.Packed.191;;

显示全部楼层 · 发表于 2009-7-28 22:26:47

2009/7/28 22:23:28       已清除       木马程序 Trojan-GameThief.Win32.Magania.brrg       G:\Temp\Virus\Virus.rar/ig(2).rar/ig.bat
2009/7/28 22:23:28       已清除       木马程序 Trojan-GameThief.Win32.Magania.brsp       G:\Temp\Virus\Virus.rar/a(hook dll rising)4.rar/a.exe
2009/7/28 22:23:28       已清除       木马程序 Trojan-GameThief.Win32.Magania.brsp       G:\Temp\Virus\Virus.rar/a(hook dll rising)4.rar
2009/7/28 22:27:52       已清除       木马程序 Trojan-GameThief.Win32.Magania.brst       G:\Temp\Virus\Virus.rar/nvrfc.rar/nvrfc.bat

Miss 3,To KL

[ 本帖最后由尤金卡巴斯基于 2009-7-28 22:31 编辑 ]

显示全部楼层 · 发表于 2009-7-28 22:38:09

2009-07-28 22:34:07 修改文件    操作:阻止
进程路径:E:\Virus\2pm8(2)\2pm8.bat
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:34:08 创建注册表值    操作:阻止并结束进程
进程路径:E:\Virus\2pm8(2)\2pm8.bat
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:54dfsger
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-07-28 22:34:08 修改其它进程内存    操作:阻止并结束进程
进程路径:E:\Virus\2pm8(2)\2pm8.bat
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2009-07-28 22:34:23 修改文件    操作:阻止
进程路径:E:\Virus\a(hook dll rising)4\a.exe
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:34:23 创建文件    操作:阻止并结束进程
进程路径:E:\Virus\a(hook dll rising)4\a.exe
文件路径:C:\WINDOWS\system32\e8main0.dll
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.dll

2009-07-28 22:34:35 修改文件    操作:阻止
进程路径:E:\Virus\eej2\eej2.exe
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:34:35 创建文件    操作:阻止并结束进程
进程路径:E:\Virus\eej2\eej2.exe
文件路径:C:\WINDOWS\system32\olhrwef.exe
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.exe

2009-07-28 22:34:35 创建文件    操作:阻止并结束进程
进程路径:E:\Virus\eej2\eej2.exe
文件路径:C:\WINDOWS\system32\olhrwef.exe
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.exe

2009-07-28 22:34:46 修改文件    操作:阻止
进程路径:E:\Virus\ig(2)\ig.bat
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:34:48 创建注册表值    操作:阻止并结束进程
进程路径:E:\Virus\ig(2)\ig.bat
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:dorfgwe
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-07-28 22:34:48 修改其它进程内存    操作:阻止并结束进程
进程路径:E:\Virus\ig(2)\ig.bat
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2009-07-28 22:35:05 修改文件    操作:阻止
进程路径:E:\Virus\nvrfc\nvrfc.bat
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:35:06 创建注册表值    操作:阻止并结束进程
进程路径:E:\Virus\nvrfc\nvrfc.bat
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:dorfgwe
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-07-28 22:35:06 修改其它进程内存    操作:阻止并结束进程
进程路径:E:\Virus\nvrfc\nvrfc.bat
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2009-07-28 22:35:18 修改文件    操作:阻止
进程路径:E:\Virus\toe\toe.cmd
文件路径:C:\WINDOWS\system32\drivers\cdaudio.sys
触发规则:所有程序规则->WINDOWS文件夹设置->%WinDir%\system32\drivers\*.sys

2009-07-28 22:35:19 创建注册表值    操作:阻止并结束进程
进程路径:E:\Virus\toe\toe.cmd
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:54dfsger
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-07-28 22:35:19 修改其它进程内存    操作:阻止并结束进程
进程路径:E:\Virus\toe\toe.cmd
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

[ 本帖最后由 hddu 于 2009-7-28 22:43 编辑 ]

[病毒样本] KAVO U盤病毒變種 20090728

回复 3楼 krichard2007 的帖子

本帖子中包含更多资源