新病毒样本免杀目前所有主流~囧

显示全部楼层 · 发表于 2009-9-1 10:59:03

囧~一个免杀样本，实地用毒霸2009查杀被过，经在线扫描才发现所有主流均被过~囧囧

VirSCAN.org Scanned Report :
Scanned time : 2009/09/01 10:36:30 (CST)
Scanner results: 16%的杀软(6/37)报告发现病毒
File Name    : 4.rar
File Size    : 57436 byte
File Type    : RAR archive data, v1d, os
MD5          : 514616a837e2283b44aba2fa96972c76
SHA1          : 47252b54d1b4d5cd5fe8a7667224730529b45df3
Online report  : http://virscan.org/report/080f36c05518a7fccd18a988b5b97449.html
Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    4.5.0.8       20090831193154 2009-08-31  4.18 -
安博士V3    2009.09.01.00 2009.09.01       2009-09-01  0.88 -
AntiVir       8.2.1.7       7.1.5.179       2009-08-28  11.02  -
安天          2.0.18       20090831.2747036  2009-08-31  0.12 -
Arcavir       2009          200908281637    2009-08-28  0.03 -
Authentium    5.1.1          200908311749    2009-08-31  1.21 -
AVAST!       4.7.4          090831-0       2009-08-31  0.01 -
AVG          8.5.288       270.13.73/2338 2009-09-01  0.49 -
BitDefender 7.81008.3920140 7.27464          2009-09-01  3.38 -
CA (VET)    9.0.0.143    31.6.6712       2009-09-01  8.10 -
ClamAV       0.95.2       9759             2009-08-30  0.03 -
Comodo       3.11          2166             2009-09-01  0.72 -
CP Secure    1.3.0.5       2009.09.01       2009-09-01  0.07 -
Dr.Web       4.44.0.9170    2009.08.31       2009-08-31  5.25 Trojan.DownLoad.45277
F-Prot       4.4.4.56       20090827       2009-08-27  1.18 W32/FakeAlert.BY.gen!Eldorado (generic, not disinfectable)
F-Secure    7.02.73807    2009.08.28.09    2009-08-28  0.10 -
飞塔          2.81-3.120    10.781          2009-08-31  0.26 -
GData       19.7530/19.459  20090901       2009-09-01  5.16 Trojan-Downloader.Win32.FraudLoad.wqng [Engine:A]
ViRobot       20090831       2009.08.31       2009-08-31  0.42 -
Ikarus       T3.1.01.68    2009.09.01.73434  2009-09-01  3.85 -
江民杀毒    11.0.800       2009.08.31       2009-08-31  3.56 -
卡巴斯基    5.5.10       2009.08.28       2009-08-28  0.06 -
金山毒霸    2009.2.5.15    2009.9.1.7       2009-09-01  0.57 -
迈克菲       5.3.00       5726             2009-08-31  3.21 -
Microsoft    1.5005       2009.08.31       2009-08-31  5.88 TrojanDownloader:Win32/Renos.HS
Norman       6.01.09       6.01.00          2009-08-31  4.01 -
熊猫卫士    9.05.01       2009.08.31       2009-08-31  1.89 -
趋势科技    8.700-1004    6.402.05       2009-08-28  0.03 -
Quick Heal    10.00          2009.08.31       2009-08-31  1.13 -
瑞星          20.0          21.45.04.00    2009-08-31  0.80 -
Sophos       2.89.1       4.44             2009-09-01  3.36 -
Sunbelt       5364          5364             2009-08-31  1.47 -
赛门铁克    1.3.0.24       20090831.018    2009-08-31  0.06 Trojan.Fakeavalert
nProtect    20090831.01    5159426          2009-08-31  6.25 -
The Hacker    6.3.4.3       v00393          2009-08-31  0.68 -
VBA32       3.12.10.10    20090831.1545    2009-08-31  1.78 Malware-Cryptor.Win32.General.4 (suspicious)
VirusBuster 4.5.11.10    10.112.20/1826778 2009-08-28  2.32 -

囧~以下是病毒行为：

2009-09-01 00:26:21 文件保护(创建文件)    操作:阻止
进程路径:C:\Downloads\社区\4.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\a..bat
2009-09-01 00:30:53 文件保护(创建文件)    操作:阻止
进程路径:C:\Downloads\社区\4.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\a..bat
2009-09-01 00:31:02 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Downloads\社区\4.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/q /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a..bat" > nul 2> nul

有联网行为，因为阻止了，之后进程就直接从内存中退出了，不知道下一步的行为~囧：

是否允许该应用程序访问网络？
程序：4.exe
路径：C:\Downloads\社区\4.exe
产品版本: 0.0.0
创建日期: 2009-08-31 10:49:35
网络操作: 连接远程网络
网络协议: TCP
远程地址: 221.238.193.115
远程端口: 80
对应地址：天津市电信

囧囧囧~大家都来试试吧~囧囧

[ 本帖最后由囧神于 2009-9-1 11:00 编辑 ]

显示全部楼层 · 发表于 2009-9-1 11:00:42

样本呢？

显示全部楼层 · 发表于 2009-9-1 11:00:50

LZ已经弄了，不妨继续~~~~

显示全部楼层 · 发表于 2009-9-1 11:03:28

2009-9-1 11:05:31 已删除: Trojan-Downloader.Win32.FraudLoad.wqng D:\Temp\4.rar/4.exe 启发式计算的高威胁级别值

显示全部楼层 · 发表于 2009-9-1 11:04:06

这个动作一看就是马，没啥怀疑的了，新做的downloader很难被立即查出来

显示全部楼层 · 发表于 2009-9-1 11:06:21

囧~其实很想知道瑞星2010和微点的结果怎么样，有谁来测试下？~囧囧

显示全部楼层 · 发表于 2009-9-1 11:07:14

Found file, D:\TDDownload\4.exe, infected with W32/FakeAlert.BY.gen!Eldorado

显示全部楼层 · 发表于 2009-9-1 11:07:27

在线引擎的卡巴斯基明显没有升级病毒库嘛！（还停留在2009年8月28号的病毒库上。小红伞亦是如此）

[ 本帖最后由幸福的猪猪于 2009-9-1 11:09 编辑 ]

显示全部楼层 · 发表于 2009-9-1 11:09:49

卡巴斯基拒绝访问拦截了

显示全部楼层 · 发表于 2009-9-1 11:10:46

原帖由 幸福的猪猪 于 2009-9-1 11:07 发表
在线引擎的卡巴斯基明显没有升级病毒库嘛！（还停留在2009年8月28号的病毒库上。小红伞亦是如此）

囧~的确呢。。。还有趋势都是28号的毒库。。。但是F-Prot 27号的库就能查杀出来了。。。不简单呢~囧囧

[病毒样本] 新病毒样本免杀目前所有主流~囧

本帖子中包含更多资源

回复 1楼囧神的帖子

[病毒样本] 新病毒样本免杀目前所有主流~囧

本帖子中包含更多资源

回复 1楼 囧神 的帖子

回复 1楼囧神的帖子