KL說clean，drweb分析師：backdoor

黑衣~魂

我分析認為是，如果你認為不是，懇請指點
RT試試
http://www.virustotal.com/zh-tw/analisis/8eee8ff582918274471a4e4ddfbea3bbe7e5c9ad4669c574028c7b5fd247078c-1251962804

Hello,


stnetlib.exe

No malicious code was found in this file.

> Password : virus
>
>
> AntiVir;7.9.1.7;2009.09.02;TR/Dropper.Gen
> Avast;4.8.1335.0;2009.09.02;Win32:Rootkit-gen
> AVG;8.5.0.409;2009.09.02;SHeur2.BAUZ
> BitDefender;7.2;2009.09.03;Gen:Trojan.Heur.P.lmW@fqb0o2e
> eSafe;7.0.17.0;2009.09.02;Suspicious File
> GData;19;2009.09.03;Gen:Trojan.Heur.P.lmW@fqb0o2e
> Ikarus;T3.1.1.68.0;2009.09.03;Gen.Trojan
> McAfee+Artemis;5729;2009.09.03;Artemis!15FFAE6D73E1
> McAfee-GW-Edition;6.8.5;2009.09.03;Trojan.Dropper.Gen
> Microsoft;1.5005;2009.09.03;VirTool:Win32/Obfuscator.DO
> Panda;10.0.2.2;2009.09.02;Suspicious file
> Prevx;3.0;2009.09.03;Medium Risk Malware
> Symantec;1.4.4.12;2009.09.03;Packed.Generic.233

Regards, Kovalev Andrey
Malware Analyst

[ 本帖最后由 黑衣~魂 于 2009-9-3 18:03 编辑 ]

aerbeisi

黑衣~魂

KL分析師分析錯誤了，麻煩高手通知一下。KL啟發組的太忙不能常要他們處理。

drweb病毒分析師Ivan Sorokin

Dear ~ 魂 ~,

Your submission has been analyzed. A corresponding record has been added to the Dr.Web virus database and will be available with the next update.

Threat: BackDoor.Graybird

Thank you for the cooperation.
--
Yours sincerely,
Virus Monitoring Service
Doctor Web Ltd.

jason_jiang

to sophos

wliao

Online Armor

kalynn84

Win32:Rootkit-gen [Rtk]

悠柚

TPAV AVG SHeur2.BAUZ

HC303

在沙盘中运行，没有发现什么生成物。TF也没有什么反应

黑衣~魂

原帖由 HC303 于 2009-9-3 18:41 发表
在沙盘中运行，没有发现什么生成物。TF也没有什么反应

我測試絕對有，c:\techload.dll

引用別人測試結果

建立檔案
產生
C:\WINDOWS\huioosys32.exe
C:\WINDOWS\stnetlib.exe
建立登陸值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Intel Physical Routine 1.2A = C:\WINDOWS\stnetlib.exe
接著 執行 C:WINDOWS\stnetlib.exe
stnetlib.exe會 HOOK explorer.exe 還有 IEXPLORE.EXE
並且使用雙進程守護...
用 Ice-Sword 才解決掉...
所以不好清除....

接著 在每個槽產生
autorun.inf
stnetlib.exe
sumtech.html

dl123100

确实是backdoor 卡巴工程师分析有误