收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 中彪了,过了我的卡巴!
123456下一页
返回列表 发新帖
楼主: 小v可
 收起左侧

[病毒样本] 中彪了,过了我的卡巴!

[复制链接]
lm91128
头像被屏蔽
发表于 2009-8-27 17:15:17 | 显示全部楼层

回复 30楼 小v可 的帖子

是不是vip.exe调用了那个del.bat。。
回复

举报

小v可
 楼主| 发表于 2009-8-27 17:17:18 | 显示全部楼层

回复 31楼 lm91128 的帖子

不知道,不过很快根本来不及反映就被删了。这个[url=http://bbs.kafan.cn/forum-31-1.html]病毒[/url]就这么突破了卡巴的防线,我好伤心啊!
回复

举报

smallyou93
发表于 2009-8-27 17:20:18 | 显示全部楼层
0040098F   push spoolsc.00400864                     c:\bsod.bat
00400996   push spoolsc.00400858                     c:\bsod.dat
004009A5   push spoolsc.00400500                     C:\Program Files\Common Files\microsoft shared\prtme.bak
004009B1   push spoolsc.00400604                     C:\Program Files\Common Files\spoolsc.exe
004009C9   push spoolsc.00400604                     C:\Program Files\Common Files\spoolsc.exe
004009DB   push spoolsc.00400604                     C:\Program Files\Common Files\spoolsc.exe
004009E0   push spoolsc.00400850                     open
004009FC   push spoolsc.00400844                     prtme.exe
00400A27   push spoolsc.00400708                     c:\Documents and Settings\All Users\「开始」菜单\程序\启动\vip.exe
00400A34   push spoolsc.00400708                     c:\Documents and Settings\All Users\「开始」菜单\程序\启动\vip.exe
00400A39   push spoolsc.00400500                     C:\Program Files\Common Files\microsoft shared\prtme.bak
00400A60   mov esi,spoolsc.00400818                  http://wermeer.cn/wermeer/report.php?title=
00400AAC   push spoolsc.0040080C                     iexplore
00400B2A   push spoolsc.004008B4                     举报
00400B44   push spoolsc.004008AC                     投诉
00400B5E   push spoolsc.004008A4                     315消费
00400B78   push spoolsc.0040089C                     骗钱
00400B92   push spoolsc.00400894                     诈骗
00400BA8   push spoolsc.0040088C                     骗话费
00400BBE   push spoolsc.00400884                     网监
00400BD4   push spoolsc.0040087C                     网警
00400BEA   push spoolsc.00400870                     网络警察
00400C54   push spoolsc.004008BC                     SeShutdownPrivilege
00400D34   push spoolsc.00400914                     Del.dat
00400D52   push spoolsc.0040090C                     Del.bat
00400D5E   push spoolsc.00400908                     w
00400D6B   push spoolsc.004008EC                     @ping -n 3 127.0.0.1>nul\n
00400D7E   push spoolsc.004008D8                     @del /F /Q "%s"\n
00400D91   push spoolsc.004008D8                     @del /F /Q "%s"\n
00400D9C   push spoolsc.004008D0                     @exit
00400DD3   push spoolsc.00400850                     open
00400E01   push spoolsc.00400908                     w
00400E06   push spoolsc.00400858                     c:\bsod.dat
00400E12   push spoolsc.0040093C                     @taskkill /f /im explorer.exe\n
00400E1D   push spoolsc.0040091C                     @taskkill /f /im svchost.exe\n
00400E31   push spoolsc.00400864                     c:\bsod.bat
00400E36   push spoolsc.00400858                     c:\bsod.dat
00400E47   push spoolsc.00400864                     c:\bsod.bat
00400E4C   push spoolsc.00400850                     open
0040108E   push ebp                                  (Initial CPU selection)
回复

举报

小v可
 楼主| 发表于 2009-8-27 17:25:00 | 显示全部楼层
VirSCAN.org Scanned Report :
Scanned time   : 2009/08/27 15:27:37 (CST)
Scanner results: 11%的杀软(4/37)报告发现病毒
File Name      : spoolsc.rar
File Size      : 3275 byte
File Type      : RAR archive data, v1d, os
MD5            : c5c3764ea8ca9e74a18c7687ccb4cb7c
SHA1           : c2342e3d20e7b2f737506b16d3455da03640913a
Online report  : http://virscan.org/report/c36305b249571b60f143ce6d52e9a673.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20090826020114    2009-08-26  0.39   -
安博士V3       2009.08.26.00   2009.08.26        2009-08-26  0.78   -
AntiVir        8.2.1.3         7.1.5.156         2009-08-24  7.02   -
安天           2.0.18          20090824.2730530  2009-08-24  0.12   -
Arcavir        2009            200908241822      2009-08-24  0.02   -
Authentium     5.1.1           200908270309      2009-08-27  1.17   W32/Heuristic-131!Eldorado (Heuristic)
AVAST!         4.7.4           090826-0          2009-08-26  0.00   -
AVG            8.5.288         270.13.69/2328    2009-08-26  0.33   -
BitDefender    7.81008.3914270 7.27372           2009-08-27  3.40   -
CA (VET)       9.0.0.143       31.6.6699         2009-08-26  7.09   -
ClamAV         0.95.2          9744              2009-08-27  0.01   -
Comodo         3.10            2096              2009-08-25  0.70   -
CP Secure      1.3.0.5         2009.08.27        2009-08-27  0.04   -
Dr.Web         4.44.0.9170     2009.08.27        2009-08-27  5.22   -
F-Prot         4.4.4.56        20090824          2009-08-24  1.15   Possible W32/Heuristic-131!Eldorado (not disinfectable)
F-Secure       7.02.73807      2009.08.24.10     2009-08-24  7.99   -
飞塔           2.81-3.120      10.757            2009-08-25  0.17   PossibleThreat
GData          19.7384/19.452  20090825          2009-08-25  4.81   -
ViRobot        20090825        2009.08.25        2009-08-25  0.42   -
Ikarus         T3.1.01.68      2009.08.27.73372  2009-08-27  3.72   -
江民杀毒       11.0.800        2009.08.25        2009-08-25  3.72   -
卡巴斯基       5.5.10          2009.08.25        2009-08-25  0.09   -
金山毒霸       2009.2.5.15     2009.8.25.21      2009-08-25  0.48   -
迈克菲         5.3.00          5721              2009-08-26  3.17   -
Microsoft      1.4903          2009.08.26        2009-08-26  5.74   -
Norman         6.01.09         6.01.00           2009-08-26  4.00   -
熊猫卫士       9.05.01         2009.08.25        2009-08-25  3.05   -
趋势科技       8.700-1004      6.392.02          2009-08-24  0.03   -
Quick Heal     10.00           2009.08.25        2009-08-25  1.09   Suspicious - DNAScan
瑞星           20.0            21.44.30.00       2009-08-27  0.82   -
Sophos         2.89.1          4.44              2009-08-27  3.35   -
Sunbelt        5353            5353              2009-08-24  1.47   -
赛门铁克       1.3.0.24        20090825.004      2009-08-25  0.05   -
nProtect       20090825.02     5133461           2009-08-25  6.15   -
The Hacker     6.3.4.3         v00388            2009-08-25  0.72   -
VBA32          3.12.10.10      20090826.1819     2009-08-26  1.69   -
VirusBuster    4.5.11.10       10.112.15/1802658 2009-08-24  2.20   -
回复

举报

主动防御
发表于 2009-8-27 18:44:58 | 显示全部楼层
楼主快去买彩票,中54 KIS交互式全+最高级启发的病毒可不多见啊,另外,楼主第一次运行时没右键丢在KIS小红伞运行?呵呵
回复

举报

主动防御
发表于 2009-8-27 18:46:08 | 显示全部楼层
TO ESET
回复

举报

弹指一挥间
发表于 2009-8-27 18:59:35 | 显示全部楼层
瑞星分析为 安全文件???
回复

举报

左寒
发表于 2009-8-27 20:15:46 | 显示全部楼层
原帖由 hj5abc 于 2009-8-27 16:28 发表
我试了,那个vip.exe就是spoolsc:8B60A622AE523C67F4413710E4A04ECC




弱弱问句,是MD5校验吗?……
回复

举报

左寒
发表于 2009-8-27 20:28:45 | 显示全部楼层
原帖由 小v可 于 2009-8-27 17:04 发表
的确消失了,再开机的一瞬间可以看到卡巴在分析vip这个进程,但是过了2秒钟在打开启动文件看的时候这个文件就会消失,用XT等工具查看也没有这个文件! 搜索也搜索不到!





出现了马上又消失,莫非该病毒是线程注入?!在开机一瞬间能够立即打开然后又马上消失的,是不是该EXE文件在开机时候运行,完成线程注射之后自动退出?
因为,如果是线程注射的话,在查看DLL模块里面,是看不到明显的异常的。。。
回复

举报

runyon
发表于 2009-8-27 22:32:08 | 显示全部楼层
To Avira
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 13:27 , Processed in 0.073189 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表