囧~免杀目前大部分杀软~（不敢写过主流了）囧囧

显示全部楼层 · 发表于 2009-9-5 07:59:52

囧~过目前主O。。。。。大部分杀软~囧，实地测试，免杀毒霸极速版~囧囧

在线扫描过大部分杀软~

VirSCAN.org Scanned Report :
Scanned time : 2009/09/05 07:45:56 (CST)
Scanner results: 27%的杀软(10/37)报告发现病毒
File Name    : 1.rar
File Size    : 46503 byte
File Type    : RAR archive data, v1d, os
MD5          : b941162f84847f72a22f250e038448a8
SHA1          : 505a9cbd3b863b5c066a8de02a82bb9db76a3b86
Online report  : http://virscan.org/report/2cda2c1414a88988130dbaa5f91b4bc4.html
Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    4.5.0.8       20090904191510 2009-09-04  3.92 Trojan.Win32.Wantvi!IK
安博士V3    2009.09.04.01 2009.09.04       2009-09-04  0.83 -
AntiVir       8.2.1.7       7.1.5.204       2009-09-03  7.02 -
安天          2.0.18       20090903.2757935  2009-09-03  0.12 -
Arcavir       2009          200909030733    2009-09-03  0.06 -
Authentium    5.1.1          200909041120    2009-09-04  1.15 -
AVAST!       4.7.4          090904-0       2009-09-04  0.01 -
AVG          8.5.288       270.13.77/2346 2009-09-05  0.30 SHeur2.BBFZ
BitDefender 7.81008.3982250 7.27536          2009-09-05  3.42 Trojan.Spy.Zbot.ATW
CA (VET)    9.0.0.143    31.6.6720       2009-09-05  3.18 -
ClamAV       0.95.2       9776             2009-09-04  0.01 -
Comodo       3.11          2210             2009-09-04  0.97 -
CP Secure    1.3.0.5       2009.09.05       2009-09-05  0.07 -
Dr.Web       4.44.0.9170    2009.09.04       2009-09-04  5.26 -
F-Prot       4.4.4.56       20090903       2009-09-03  1.14 -
F-Secure    7.02.73807    2009.09.03.07    2009-09-03  0.09 -
飞塔          2.81-3.120    10.797          2009-09-04  0.21 -
GData       19.7615/19.463  20090904       2009-09-04  4.69 -
ViRobot       20090904       2009.09.04       2009-09-04  0.55 -
Ikarus       T3.1.01.72    2009.09.04.73471  2009-09-04  3.92 Trojan.Win32.Wantvi
江民杀毒    11.0.800       2009.09.04       2009-09-04  4.91 -
卡巴斯基    5.5.10       2009.09.03       2009-09-03  0.06 -
金山毒霸    2009.2.5.15    2009.9.4.17    2009-09-04  0.71 -
迈克菲       5.3.00       5731             2009-09-04  3.27 -
Microsoft    1.5005       2009.09.05       2009-09-05  9.57 Trojan:Win32/Wantvi.I
Norman       6.01.09       6.01.00          2009-09-03  4.01 -
熊猫卫士    9.05.01       2009.09.04       2009-09-04  5.17 -
趋势科技    8.700-1004    6.416.03       2009-09-03  0.04 TROJ_FAKEAV.JJM
Quick Heal    10.00          2009.09.04       2009-09-04  2.13 Suspicious - DNAScan
瑞星          20.0          21.45.42.00    2009-09-04  1.14 -
Sophos       2.90.1       4.45             2009-09-05  3.04 Mal/EncPk-IF
Sunbelt       5375          5375             2009-09-04  2.18 -
赛门铁克    1.3.0.24       20090904.009    2009-09-04  0.06 Packed.Generic.233
nProtect    20090904.01    5209019          2009-09-04  7.68 -
The Hacker    6.3.4.3       v00396          2009-09-03  0.70 -
VBA32       3.12.10.10    20090904.1511    2009-09-04  3.50 Win32.Trojan.Downloader (http://...) (suspicious)
VirusBuster 4.5.11.10    10.112.25/1842559 2009-09-02  2.54 -

以下是病毒行为：
2009-9-5 07:49:39 c:\1.exe 删除注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\risky 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2009-9-5 07:49:40 c:\1.exe 修改文件 C:\WINDOWS\system32\braviax.exe 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2009-9-5 07:49:41 c:\1.exe 修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\* 值: C:\WINDOWS\system32\braviax.exe

2009-9-5 07:49:42 c:\1.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\braviax 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\* 值: C:\WINDOWS\system32\braviax.exe

2009-9-5 07:49:42 c:\1.exe 修改文件 C:\WINDOWS\system32\dllcache\figaro.sys 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2009-9-5 07:49:43 c:\1.exe 修改文件 C:\WINDOWS\system32\dllcache\beep.sys 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2009-9-5 07:49:44 c:\1.exe 修改文件 C:\WINDOWS\system32\drivers\beep.sys 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2009-9-5 07:49:45 c:\1.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations 值: \??\C:\Program Files\Kingsoft\Kingsoft AntiVirus NetBook Edition\UpdateEx_rec.ini  \??\C:\Program Files\Kingsoft\Kingsoft AntiVirus NetBook Edition\UpdateEx_rec.ini  \??\C:\WINDOWS\system32\dllcache\figaro.sys \??\C:\WINDOWS\system32\drivers\beep.sys \??\C:\W
（囧~想以如此老套的办法干掉毒霸？~囧囧）

2009-9-5 07:49:50 c:\1.exe 访问网络 UDP [本机 : 1889] ->  [127.0.0.1 : 1889] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
（囧~此处阻止的话，程序会不断联网~）

2009-9-5 07:49:51 c:\windows\system32\svchost.exe 从其他进程复制句柄 c:\1.exe 允许 [应用程序]c:\windows\system32\svchost.exe 句柄: (Key) \REGISTRY\USER\S-1-5-21-789336058-839522115-725345543-500\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness

2009-9-5 07:49:52 c:\1.exe 注销、关机或重新启动系统  阻止 [应用程序]*
（囧~最后这招太绝了~囧）

显示全部楼层 · 发表于 2009-9-5 08:03:53

to avira

显示全部楼层 · 发表于 2009-9-5 08:07:08

VB/PA miss，to

显示全部楼层 · 发表于 2009-9-5 09:30:32

卡巴可以查杀

显示全部楼层 · 发表于 2009-9-5 09:34:33

这不是我在爱毒霸上报的那个吗

楼主分析得很详细

显示全部楼层 · 发表于 2009-9-5 09:50:46

2009-09-05 09:49:44 创建注册表值操作:阻止并结束进程
进程路径:E:\1\1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2009-09-05 09:49:44 创建注册表值操作:阻止并结束进程
进程路径:E:\1\1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

显示全部楼层 · 发表于 2009-9-5 09:51:23

antiav

[ 本帖最后由 schumi小粉于 2009-9-5 09:52 编辑 ]

显示全部楼层 · 发表于 2009-9-5 10:05:11

已上报瑞星云安全自动分析系统
RS20090905084041796154

显示全部楼层 · 发表于 2009-9-5 10:06:19

NOD32报警

显示全部楼层 · 发表于 2009-9-5 13:19:11

E:\1.rar>>1.exe TrojanDropper.Agent.bcca.suxa 木马还未处理

[病毒样本] 囧~免杀目前大部分杀软~（不敢写过主流了）囧囧

本帖子中包含更多资源

本帖子中包含更多资源